Des chercheurs confirment les faiblesses des cartes de paiement RFID
La RFID implémentée dans des cartes de paiement permet de réaliser des transactions sans contact... mais également de capter les noms des porteurs et les numéros des cartes bancaires, affirment des chercheurs.
Une étude réalisée par les laboratoires de RSA (avec l'aide de l'Université du Massachusetts et d'Innealta) vient bousculer le monde feutré des cartes bancaires. Présentée à la conférence « Financial Cryptography 2007 » qui vient de se conclure à Trinidad/Tobago, elle confirme des résultats préliminaires donnés il y a quelques mois : les cartes de paiement sans contact issues l'année dernière, utilisant la technologie d'échange de données par radiofréquence RFID, peuvent transmettre des informations en clair à un lecteur de puces RFID. Obtenir le nom du porteur, le numéro de la carte et la date d'expiration permettant alors d'en créer un clone (sans les trois chiffres de sécurité, toutefois). Les auteurs de l'étude disent avoir testé une vingtaine de cartes, dont la « vaste majorité » a donné ces informations en clair. Visa, qui estime que six millions de ces cartes sont en circulation (Mastercard en aurait livré le double de ce nombre, d'après le RFID Journal), explique que la seconde génération de cartes corrige ce problème, seul le numéro étant accessible en clair. Concernant la première génération de cartes, raconte Brian Tripplett, vice-président senior responsable du développement des produits émergents, Visa avait suggéré aux banques de ne pas éditer de cartes transmettant le nom du porteur. Aujourd'hui, c'est une obligation. Des cartes pas encore en circulation en France Par ailleurs, le protocole de communication utilisé est désormais un peu différent de celui utilisé par les lecteurs RFID classiques, servant par exemple à inventorier les palettes de produits dans les supermarchés. Toutefois, il faut noter que les risques soulevés sont relativement faibles. Les auteurs de l'étude reconnaissent eux-mêmes qu'il leur a fallu modifier légèrement les lecteurs RFID - ce qui demande donc des compétences plus complexes que ce qui peut se pratiquer dans d'autres types de piratage (avec un simple logiciel espion, par exemple) - et se tenir très près de la carte cible. Nous n'avons pu obtenir de précisions de la part du GIE Cartes bancaires ni de Mastercard avant la publication de cet article sur les impacts éventuels en France. Visa, quant à lui, nous a confirmé que ce type de cartes n'était pas encore en circulation en France. Toutefois, un projet pourrait être lancé dès cette année, a précisé le porte-parole.
En savoir plus
- Le rapport présenté à la conférence avait fait l'objet d'un brouillon, consultable ici. - Les cartes sans contact chez Mastercard - Les cartes sans contact chez Visa