Une faille majeure découverte dans les cartes bancaires NFC, Réactions à la publication du 26/04/2012 |
Bienvenue invité ( Connexion | Inscription )
Une faille majeure découverte dans les cartes bancaires NFC, Réactions à la publication du 26/04/2012 |
26 Apr 2012, 16:09
Message
#1
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 346 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
La mode est au NFC qui promet de pouvoir payer sans le moindre contact. Les moblies s'y mettent mais aussi les cartes bancaires.
Renaud Lifchitz un spécialiste de la sécurité affirme avoir découvert une faille majeure dans ces cartes de paiement NFC. Elle permet de récupérer toutes les informations contenues dedans, numéro de la carte, détenteur, date d'expiration, historique des transactions..., tout sauf le pictogramme à 3 chiffres. Cette récupération peut se faire facilement jusqu'à 1,5m si la carte est dans un portefeuille ou poche et jusqu'à 15m durant son utilisation. Le GIE (groupement des cartes bancaires) considère qu'il s'agit d'une tempête dans un verre d'eau et que ce n'est qu'un risque théorique exploitable en laboratoire uniquement. Pourtant, la faille serait connue depuis fort longtemps mais n'aurait pas été considérée comme assez grave pour être étudiée et comblée. Comme par le passé lors de découvertes de failles, elles ne seront probablement comblées que lorsque le coût de la fraude sera supérieur à celui de l'échange des cartes ayant une faille, ce qui risque de prendre un long moment. Par Lionel -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
26 Apr 2012, 16:15
Message
#2
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 3 515 Inscrit : 21 Sep 2005 Membre no 46 410 |
La présentation vaut son pesant de cacahuètes.
|
|
|
26 Apr 2012, 16:20
Message
#3
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 183 Inscrit : 13 Dec 2007 Membre no 102 454 |
une discussion sur Korben explique qu'en france on ne pourra pas en faire grand chose....
bref vive le nfc ! -------------------- MBP 2015 15" Core i7 2,2Ghz - 16Go de Ram
iMac early 2009 24" + MBA 2021 13" M1 Iphone 8 + XS 64Go |
|
|
26 Apr 2012, 16:33
Message
#4
|
|
Adepte de Macbidouille Groupe : Membres Messages : 67 Inscrit : 23 Oct 2005 Membre no 48 540 |
Euh, plus d'infos (et plus exactes) sur Korben.info. Je cite:
------------- L'ami Renaud Lifchitz, ingénieur sécurité chez BT (anciennement British Telecom) a mis au jour un gros problème de sécurité dans les nouvelles cartes bancaires utilisant la technologie NFC. Cette techno pour ceux qui ne connaissent pas encore, ça veut dire "Near Field Communication" et ça permet de faire tout un tas de choses sans contact... Donc avec une carte bancaire, de payer sans avoir à mettre sa carte dans une machine. Génial hein ? Mais bizarrement, alors que techniquement, il est parfaitement possible de faire des protocoles de communication sans contact et sécurisés comme c'est le cas sur le pass Navigo, ici Visa/Mastercard n'ont pas pris la peine de chiffrer le protocole utilisé sur ses cartes bancaires, ni même de mettre en place une authentification. Concrètement, cela veut dire qu'avec un simple lecteur NFC, n'importe qui peut dérober toutes les informations du porteur comme la civilité, les nom et prénom, le numéro de carte, sa date d'expiration, et la liste des 20 dernières transactions sur la carte avec leur montant...etc "MOUAHAHA" me direz-vous ? Et vous aurez raison. Et vu que c'est sans contact, ça devient facile par exemple d'aspirer ces infos, simplement en vous rapprochant d'un sac ou d'une poche avec le lecteur qui va bien. Il est même tout à fait faisable de dupliquer la carte (Yes!) puisque dans la puce NFC, on retrouve les infos de la bande magnétique. Du coup, dans certains pays étrangers, où sur les bornes qui se contente de la bande magnétique, ces copies de cartes peuvent parfaitement fonctionner. D'après Renaud, cette négligence est due au fait que, je cite : "le protocole (EMV - celui des cartes traditionnelles) a été repris tel quel et utilisé 'dans les airs' sans se poser plus de questions". Quelle bande de sacrés rigolos au GIE !! D'ailleurs, la CNIL, le Ministère des Finances, le Ministère de l'Intérieur et toute la cavalerie sont sur le coup pour évaluer les risques et surtout demander des comptes au GIE. Petit détail amusant, sur le site de Visa, plus précisément dans la FAQ, on trouve la citation "Epic bullshit" suivante : Au niveau technique, la fonctionnalité sans contact est basée sur une carte à puce développée à partir de la technologie EMV, qui protège les données du porteur par des cryptogrammes dynamiques très sécurisés. D’ores et déjà déployée à grande échelle depuis plusieurs années dans le monde, la technologie sans contact s’est avérée, à l’usage, être un moyen de paiement très sécurisé. Avec un simple dongle NFC USB à 40 €, et une application dont le code source a été mis en ligne ici, il est possible de récupérer toutes ces infos. Mais on peut très bien imaginer un portage sur Android qui fonctionnerait parfaitement avec des téléphones compatibles NFC comme le Samsung Nexus S. En fait, ce portage existe déjà et le code source devrait bientôt sortir... ------------ Le reste, ici: http://korben.info/les-cartes-bancaires-sa...securisees.html La demo ici: http://www.ustream.tv/recorded/21805507 |
|
|
26 Apr 2012, 16:40
Message
#5
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 829 Inscrit : 1 Jul 2010 Membre no 156 073 |
La présentation vaut son pesant de cacahuètes. Fameux ! "We HAVEN'T BROKEN any security or tried to, because there is none!" -------------------- L'homme n'est que poussière... c'est dire l'importance du plumeau ! Alexandre Vialatte
|
|
|
26 Apr 2012, 16:49
Message
#6
|
|
Nouveau Membre Groupe : Membres Messages : 21 Inscrit : 20 Aug 2010 Membre no 158 045 |
j'ai bien eu raison de ne pas accepter cette fonction.
On va laisser les autres payer les pots cassés... |
|
|
26 Apr 2012, 16:50
Message
#7
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 101 Inscrit : 19 Oct 2005 Lieu : Presqu'ile de Rhuys Membre no 48 216 |
-------------------- John Stone
Utilisateur de Mac depuis 1989 et d'Apple II depuis 1983, iPhone depuis Dec 2016 Fender Strat Mex / Ovation 1861 US / Martin & Co LX1E / Yamaha G-231 / Epiphone LesPaul Classic Yamaha THR10 / DigiTech RP155 / DigiTech JamMan Stereo / Evolution eKeys 49 / Trio band Creator MBA 2021 / iPhone 14 Pro 2023 / AirPods Pro / Apple TV 4K / iPad 2019 / HomePod mini / AppleWatch 8 |
|
|
26 Apr 2012, 17:07
Message
#8
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 504 Inscrit : 28 Aug 2004 Lieu : Paris Membre no 22 635 |
Il me semble bien que le GIE Cartes bancaire réagit comme à son habitude (cf. Serge Humpich), en niant le problème plutôt qu'en cherchant à la résoudre...
|
|
|
26 Apr 2012, 17:09
Message
#9
|
|
Adepte de Macbidouille Groupe : Membres Messages : 197 Inscrit : 30 Sep 2003 Lieu : Montreal Membre no 9 996 |
il avait fait une émission télé la dessus au Canada, il y a quelques semaines
Un journaliste se baladait dans un "food court" a Montréal, et il se mettait dans un queue de personnes , passé son scanner sur la poche arrière des gars ou proche des sacs à main de femmes et récupérait les info de la carte. Ensuite il demandait au gens si les infos récupérées correspondaient a la réalité. Les gens étaient attérés Il disait que son scanner lui avait couté 100$ il me semble. Donc un truc seulement exploitable en laboratoire, bof j'y crois pas -------------------- http://www.bazando.fr: l'augmentation du pouvoir d'achat c'est nous ! (vos achats sur internet sont moins cher partout en Europe)
|
|
|
26 Apr 2012, 17:11
Message
#10
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 6 484 Inscrit : 21 Apr 2006 Membre no 59 799 |
La présentation vaut son pesant de cacahuètes. Fameux ! "We HAVEN'T BROKEN any security or tried to, because there is none!" Ça me rappelle le "it's not a bug, it's a feature !" Quelle bande de branquignolles quand même ! Ce message a été modifié par marc_os - 26 Apr 2012, 17:12. -------------------- ----------------- --JE-------SUIS-- --AHMED-CHARLIE-- --CLARISSA-YOAV-- ----------------- |
|
|
26 Apr 2012, 17:15
Message
#11
|
|
Adepte de Macbidouille Groupe : Membres Messages : 197 Inscrit : 30 Sep 2003 Lieu : Montreal Membre no 9 996 |
il avait fait une émission télé la dessus au Canada, il y a quelques semaines Un journaliste se baladait dans un "food court" a Montréal, et il se mettait dans un queue de personnes , passé son scanner sur la poche arrière des gars ou proche des sacs à main de femmes et récupérait les info de la carte. Ensuite il demandait au gens si les infos récupérées correspondaient a la réalité. Les gens étaient attérés Il disait que son scanner lui avait couté 100$ il me semble. Donc un truc seulement exploitable en laboratoire, bof j'y crois pas pour info voici la preuve par l'image: http://www.radio-canada.ca/nouvelles/Econo...s-contact.shtml L'emission complete qui parle de ca: http://www.tou.tv/la-facture/s2011e14 par contre pas sur que ca soit visible en dehors du Canada !! edit: après revisionage et pour être totalement honnête, en fait il avait un vrai lecteur de carte RFID pour carte de crédit acheté sur internet, donc ça n'a pas vraiment de rapport avec la faille. Ca prouve juste qu'il est facile de récupérer les infos Ce message a été modifié par counane - 26 Apr 2012, 17:23. -------------------- http://www.bazando.fr: l'augmentation du pouvoir d'achat c'est nous ! (vos achats sur internet sont moins cher partout en Europe)
|
|
|
26 Apr 2012, 17:58
Message
#12
|
|
Macbidouilleur d'argent ! Groupe : Membres Messages : 706 Inscrit : 1 Nov 2003 Membre no 11 166 |
j'ai bien eu raison de ne pas accepter cette fonction. On va laisser les autres payer les pots cassés... On n'a pas toujours le choix. La carte arrive à expiration, et celle qu'on reçoit contient cette fonction. Ce message a été modifié par HyperBallad - 26 Apr 2012, 18:01. |
|
|
26 Apr 2012, 19:04
Message
#13
|
|
Adepte de Macbidouille Groupe : Membres Messages : 126 Inscrit : 17 Aug 2007 Membre no 92 795 |
Ca va faire comme Moneo, ca prendras pas vraiment.
Et puis on est si pressé que çà pour ne plus à avoir le temps d'insérer une carte dans un lecteur et taper son code (même si le risque éxiste toujours) ?? Je risque au moins de ne pas me faire renifler le derrière par un scanner RFID !! Autant des cartes de métro, bus.. je veux bien, mais des cartes de paiement... bof bof |
|
|
26 Apr 2012, 19:57
Message
#14
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 273 Inscrit : 23 Aug 2003 Membre no 9 180 |
Quand je pense à ce que l'on risque si l'on sécurise mal sa connexion internet, et quelle est piratée pour des téléchargements illégaux...
Ces trous du cul bancaires, ça fait peur. Ils sont irresponsables. A la limite de la délinquance. QUI OSERA LEUR BRISER LES REINS ? |
|
|
26 Apr 2012, 22:37
Message
#15
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 009 Inscrit : 3 May 2006 Lieu : FR Membre no 60 515 |
La négation des manques de sécurité sur les cartes de crédit n'est pas nouveau,par exemple, les TRES (TRES)graves menaces de l'Establishment Bancaire à l'encontre de celui qui avait trouvé une des failles, et appliqué, pour prouver sa bonne foi, par des retraits de 1 CENTIME de F .
Ils sont toujours aussi arrogants et détestables pour ne pas dire plus... Ils sont aussi la SEULE cause des problèmes de crise aujourd'hui... -------------------- Mac Mini M1 16 Go 512 Go - 2 SSD; macOS Sonoma 14.5, 2 To Montage vidéo 4K
HP-Omen 17P, i7700HQ, 32 Go, GTX 1060 , 3 SSD: Windows 10, Linux Manjaro , AlmaLinux Gigabyte Z370 Aorus - i8700 - 16Go - RX580/GTX1070 - 5 SSD- 4DD en Raid - Win10 - macOS Sonoma 14.3 - Linux Manjaro Raspberry 4B 8Go Debian 3 NAS Synology: 16 To - 4 To - 2 To SiliconGraphics Indigo2, Amiga 2000,1200/040, Falcon 030, Power Mac G4/933, tous en état de fonctionnement. ----------------------- " Soyez résolus de ne servir plus, et vous voilà libres " La Boétie " L'intelligence ne peut faire l'économie de la culture, donc du langage " Michaël Parent |
|
|
27 Apr 2012, 09:12
Message
#16
|
|
Adepte de Macbidouille Groupe : Membres Messages : 222 Inscrit : 10 Dec 2005 Lieu : Paris Membre no 51 484 |
Ca va faire comme Moneo, ca prendras pas vraiment. Et puis on est si pressé que çà pour ne plus à avoir le temps d'insérer une carte dans un lecteur et taper son code (même si le risque éxiste toujours) ?? Je risque au moins de ne pas me faire renifler le derrière par un scanner RFID !! Autant des cartes de métro, bus.. je veux bien, mais des cartes de paiement... bof bof Ben le plus affligeant c'est que le pass Navigo (même technologie) est super sécurisé alors que les cartes bancaires envoient toutes les données EN CLAIR !! |
|
|
27 Apr 2012, 09:17
Message
#17
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 503 Inscrit : 9 Apr 2003 Membre no 7 046 |
Oui, certaines personnes dane le GIE CB sont puantes...
Enfin, ils ont envoyé le bon message, la prochaine fois que la puce sera craquée, ça sera utilisé direct (ou revendu a l'est...) et la reaction sera connue lorsqu'ils aurront perdu quelques milliards... Pour revenir au NFC (paypass/paywave), le but est de remplacer la monnaie (boulangerie, ticket de metro etc.) - afin de pouvoir se debarasser ou marginaliser les especes, (ce qui permet au passage d'avoir un controle sur la population et taxation, ca sera donc mis en avant par le gouvernement...) Il ne faut pas oublier que quand vous utilisez votre CB, le commercant paye des frais assez elevés sur la transaction (1-3% pour 15 euros) et qu'au niveau legal, il n'a pas le droit de vous les faire payer (dans certains pays d'asie : CB => 2-3% en +) Perso, je connai une alternative devellopé a Hong Kong => La carte octopus, equivalent du cash, non nominative, sans declaration d'identité et reglement seulement en especes, mis au point pour le metro puis peu a peu devellopé pour la pluspart des transports en commun et certains petit commerces => C'est quand meme bien different de moneo ou paypass/paywave, c'est pour cette raison que ça marche depuis + de 10 ans... |
|
|
Nous sommes le : 26th April 2024 - 19:36 |