NFC : banques et émetteurs perdent le contact

Mis à jour avec les réactions des émetteurs le 30.01.2015

Les puces NFC (pour Near Field Communication) permettent d’effectuer de petits achats, jusqu’à 40 francs, sans entrer le moindre code ; elles équipent déjà les cartes de crédit, certains smartphones et bientôt les cartes de débit. Sans oublier les bureaux et autres systèmes de contrôle d'accès (comme le métro parisien) qui font déjà une large utilisation de cette technologie.

Mais en ce qui concerne le paiement, la sauce a de la peine à prendre : selon une étude de Comparis, publiée en 2014, 73% des détenteurs de carte NFC n’ont jamais utilisé cette fonction, contre 12% qui l’utilisent régulièrement. En cause notamment, la sécurité du système, très critiquée. Au point que de nombreux clients souhaitent s’en passer totalement.

Or ils n’ont pas le choix, toutes les cartes étant désormais équipées de la fameuse puce. Des tutoriels sont disponibles sur internet pour la déconnecter (à coup de cutter ou de tournevis), une opération à « carte ouverte » peu recommandable. Moins invasifs, des étuis métalliques bloquant les signaux radios sont en vente.

Discours lénifiant

Mais quel risque fait vraiment courir le NFC ? Du côté des banques et des émetteurs, le discours est apaisant : le site d’information kontaktlos.ch, mis en ligne par le groupe Aduno (Viseca), promet ainsi une « sécurité maximale » à ses clients. Et ceux qui refusent la fonction sans contact peuvent toujours insérer leur code PIN, nous répond-on. Une réponse absurde, puisque la spécificité des cartes munies d'une puce NFC est justement d'autoriser les paiements, jusqu’à 40 francs, sans code.

Interpellés par la FRC (lire encadré ci-dessous), Viseca, UBS et Cornercard ont répondu qu’il restait possible d’obtenir des cartes de crédit sans NFC (sauf dans les paquets bancaires chez UBS). Chez Cembra et Swisscard, le message du Préposé à la protection des données d’offrir le choix aux clients n’a pas été entendu. Quant à la désactivation de la fonction sans contact, elle n’est techniquement pas possible, nous dit-on. Etonnant, lorsqu’on sait que la France pratique de la sorte…

Plus d’espoir du côté des cartes de débit: Postfinance, prévoit une information détaillée et la possibilité de désactiver la fonction pour sa Postfinance Card à l’horizon de l’été 2015; une possibilité aussi à l’étude à la BCF. Raiffeisen planifie un essai pilote pour l’automne et assure que nos demandes seront prises en considération. La BCN annonce un projet au niveau suisse pour le second trimestre 2016. Nous avons trouvé un allié du côté de la Banque Alternative, qui estime préoccupant que la clientèle n’ait pas le choix, et qui tentera de peser de son poids dans le développement futur du sans contact pour les cartes de débit.

Attaque faisable

Car les établissements financiers minimisent les risques induits par cette technologie. En installant sur son smartphone une simple app lectrice de carte NFC, disponible gratuitement sur Google Play, on peut déjà extraire plusieurs données des cartes de crédit, notamment celles émises par Viseca: le numéro, la date d’expiration, ainsi que les derniers montants facturés. Une situation inacceptable pour Sébastien Schopfer, président du Parti Pirate genevois, formation qui met la vie privée au cœur de son programme : « Même si les données sont incomplètes, il est possible de les reconstituer par ingénierie sociale ».

Direction le LASEC, le Laboratoire de sécurité et de cryptographie de l’EPFL. L’équipe du professeur Serge Vaudenay travaille sur le NFC, et notamment sur les attaques par relais. Dans ce cas de figure, un smartphone pompant les données d’une carte NFC (par exemple en étant collé à son voisin dans le métro) communique avec un deuxième téléphone en train d’effectuer un paiement sans contact. En quelque sorte, ce second téléphone NFC se « fait passer » pour la carte légitime. Avec ce procédé, l’équipe du LASEC a été capable de pirater les cartes de photocopie de l’EPFL (relevons que le système NFC est utilisé . Elle a pour l’instant échoué à reproduire l’attaque avec des cartes de crédit, à cause du temps de réponse. Mais une équipe de l’Université de Birmingham a démontré sa faisabilité.

Pour le professeur Vaudenay, la sécurité du système est donc loin d’être avérée : « Les fraudes sont un tabou et trop de sociétés font de l'absence de communication un gage de sécurité ». Il ajoute par ailleurs que la portée du NFC peut être augmentée jusqu’à 10 mètres.

Sans même évoquer ces attaques académiques, les carte NFC comportent un risque réel en cas de vol : on peut faire trois achats sans entrer le code PIN, ce qui porte la perte potentielle à 120 francs, et non pas à 40 francs seulement. Et un « bug » inquiétant pourrait alourdir l’ardoise : en l’état, le système n’est pas capable de convertir la limite d’achat dans une autre devise, relève le professeur. Ce qui signifie que si un voleur de carte effectue un paiement en euro, il n’a aucune limite…