Sécurité des cartes bancaires sans contact

Quels sont les progrès ?
Quelle a été la chronologie des publications et des avancées ?
Les réactions des autorités ?

Merci à Renaud Lifchitz pour son aide

Voici une petite revue de presse que notre confrère Renaud Lifchitz nous a concoctée tout spécialement pour nous et pour vous...

  1. Décembre 2011  : Étude de RL et découverte de failles de sécurité et de non-conformités à la réglementation française
  2. Janvier-Mars 2012 : Communication des informations à certains établissements bancaires
  3. Avril 2012  : Démonstration rapide des failles aux GS Days devant la CNIL, la gendarmerie et le Ministère des Finances
  4. Avril 2012 : Publication de l’étude technique de RL en anglais à la conférence Hackito Ergo Sum :
    https://speakerdeck.com/rlifchitz/hacking-the-nfc-credit-cards-for-fun-and-debit
  5. Mai 2012 : Communiqué de la CNIL sur l’ouverture d’expertises techniques sur la sécurité des cartes bancaires sans contact, suite à des révélations dans la presse :
    https://web.archive.org/web/20140807061851/http://www.cnil.fr/linstitution/actualite/article/article/securite-des-cartes-bancaires-sans-contact-expertise-en-cours/
  6. Mai 2012-Mai 2013 : Collaboration RL avec la CNIL et la gendarmerie
  7. Octobre 2012 : Publication de l’étude de RL orientée risques (fraude et réglementation), en français, aux Assises de la Sécurité :
    https://speakerdeck.com/rlifchitz/nouvelles-cartes-de-paiement-sans-contact-quels-risques
  8. Octobre 2012 : Résumé de l’étude en français :
    https://www.globalsecuritymag.fr/Les-nouvelles-cartes-de-paiement,20121011,32948.html
  9. Avril 2013 : Le journaliste Samuel Demeulemeester de Canard PC Hardware n°16 (Avril-Mai 2013) a fabriqué pour moins de 100 euros un lecteur NFC d’environ 15-17 cm de portée qui tient dans une sacoche et a parcouru une ligne de métro parisien aux heures de pointe en passant à proximité des poches et sacs. Le résultat est effarant, un attaquant ainsi armé récupère une dizaine de cartes bancaires par heure. En avril 2013, le taux d’équipement en cartes bancaires NFC était de 5%, aujourd’hui il est de 50%...
  10. Mai 2013 : Des clients victimes d’erreurs de paiement sans contact chez Marks & Spencer (paiement multiple) :
    http://www.bbc.co.uk/news/business-22545804
  11. Juillet 2013 : Communiqué de presse de la CNIL sur les avancées obtenues. Devoir d’information des clients par les banques. Les banques doivent supprimer toutes les données à caractère personnel de l’interface sans contact des cartes (civilité, prénom, nom, historique complet des transactions). Le client d’une banque obtient le droit de désactiver le sans contact à tout moment et sans frais :
    https://www.cnil.fr/fr/securite-des-cartes-bancaires-sans-contact-quelles-sont-les-avancees-et-les-ameliorations-possibles
    RL a réalisé quelques tests sur ces nouvelles cartes bancaires sans contact "désactivables" et il semble que ce soit sécurisé, sans une totale certitude car le système est propriétaire et opaque. Lors d’une saisie de code PIN, la carte est reprogrammée par la banque à distance et cela désactive la sélection de l’application bancaire sur l’interface sans contact.
  12. Août 2013 : Une étude universitaire montre des lectures NFC actives à 1 mètre :
    http://digital-library.theiet.org/content/journals/10.1049/joe.2013.0087;jsessionid=3bggvbgimjqg9.x-iet-live-01
  13. Mars 2014 : Une association de consommateurs alerte des risques :
    http://www.60millions-mag.com/2014/03/04/paiement-sans-contact-un-deploiement-discret-et-dangereux-7919
  14. Juin 2014 : La Banque de France ordonne aux banques de provisionner au minimum 10% d’étuis anti-NFC pour se prémunir d’attaques de grande ampleur ou d’un mouvement de panique, les étuis sont disponibles gratuitement pour les clients bancaires :
    http://www.01net.com/actualites/piratage-des-cartes-nfc-le-plan-de-crise-secret-des-banques-francaises-621956.html
  15. Octobre 2015 : Des fraudes avérées dans les transports en commun :
    http://www.zataz.com/frotteurs-2-0-vol-de-donnees-bancaires-dans-les-transports-publics/
    http://www.scmagazineuk.com/sc-staff-hit-by-contactless-card-theft/article/447971/
  16. Mai 2015 : Publication par la CNIL d’un résumé des droits du porteur :
    https://www.cnil.fr/fr/carte-de-paiement-sans-contact-mode-demploi
  17. Août 2015 : Publication des premiers chiffres officiels de fraude liée au sans contact dans le rapport 2014 de l’Observatoire de la sécurité des cartes de paiement :
    https://observatoire.banque-france.fr/uploads/media/OSCP-rapport-annuel-2014.pdf
    En particulier : "Par ailleurs, les premières données statistiques relatives aux paiements en mode sans contact font ressortir un taux de fraude limité sur les neuf derniers mois de 2014, à 0,015 %, soit un niveau intermédiaire entre celui des paiements de proximité et celui des retraits aux distributeurs automatiques de billets." (attention ici on parle uniquement de 9 mois de l’année sur 12). Cela peut sembler faible mais il faut comparer avec : "le taux de fraude sur les retraits continue à progresser (0,034 %, après 0,033 % en 2013), dans un contexte où le piratage de distributeurs de billets et le vol de cartes avec code restent des malversations prisées des réseaux de fraude organisés". On voit donc que la fraude au sans contact représente quand même plus de la moitié de la fraude par skimming, ce qui est très important au final (alors même qu’en 2014 le taux d’équipement en carte sans contact est < 50%)

- Analyse juridique : la banque n’est pas forcément tenue de rembourser les fraudes et pourra prétendre à une négligence du porteur :
http://www.adc54.org/index.php?reftxt=201206171043&rub=1 Certains établissements proposent même des assurances complémentaires NFC payantes pour le client !

- Lecteur de carte bancaire NFC”, une application Android pour tester sa carte bancaire :
https://play.google.com/store/apps/details?id=com.github.devnied.emvnfccard

- La vérité arrangée de Visa sur son site :
https://www.visa.fr/je-suis-particulier/paiement-sans-contact/securite : "Les informations bancaires sensibles échangées entre la carte et le terminal sont toutes cryptées." alors qu’elles sont toutes en clair...