Une faille majeure découverte dans les cartes bancaires NFC, Réactions à la publication du 26/04/2012

[Lionel]

La mode est au NFC qui promet de pouvoir payer sans le moindre contact. Les moblies s'y mettent mais aussi les cartes bancaires.
Renaud Lifchitz un spécialiste de la sécurité affirme avoir découvert une faille majeure dans ces cartes de paiement NFC. Elle permet de récupérer toutes les informations contenues dedans, numéro de la carte, détenteur, date d'expiration, historique des transactions..., tout sauf le pictogramme à 3 chiffres.
Cette récupération peut se faire facilement jusqu'à 1,5m si la carte est dans un portefeuille ou poche et jusqu'à 15m durant son utilisation.


Le GIE (groupement des cartes bancaires) considère qu'il s'agit d'une tempête dans un verre d'eau et que ce n'est qu'un risque théorique exploitable en laboratoire uniquement. Pourtant, la faille serait connue depuis fort longtemps mais n'aurait pas été considérée comme assez grave pour être étudiée et comblée. Comme par le passé lors de découvertes de failles, elles ne seront probablement comblées que lorsque le coût de la fraude sera supérieur à celui de l'échange des cartes ayant une faille, ce qui risque de prendre un long moment. 
Par Lionel

[AlbertRaccoon]

La présentation vaut son pesant de cacahuètes.

[Jedge]

une discussion sur Korben explique qu'en france on ne pourra pas en faire grand chose....
bref vive le nfc !

[prijker]

Euh, plus d'infos (et plus exactes) sur Korben.info. Je cite:
-------------
L'ami Renaud Lifchitz, ingénieur sécurité chez BT (anciennement British Telecom) a mis au jour un gros problème de sécurité dans les nouvelles cartes bancaires utilisant la technologie NFC. Cette techno pour ceux qui ne connaissent pas encore, ça veut dire "Near Field Communication" et ça permet de faire tout un tas de choses sans contact... Donc avec une carte bancaire, de payer sans avoir à mettre sa carte dans une machine.

Génial hein ?

Mais bizarrement, alors que techniquement, il est parfaitement possible de faire des protocoles de communication sans contact et sécurisés comme c'est le cas sur le pass Navigo, ici Visa/Mastercard n'ont pas pris la peine de chiffrer le protocole utilisé sur ses cartes bancaires, ni même de mettre en place une authentification.

Concrètement, cela veut dire qu'avec un simple lecteur NFC, n'importe qui peut dérober toutes les informations du porteur comme la civilité, les nom et prénom, le numéro de carte, sa date d'expiration, et la liste des 20 dernières transactions sur la carte avec leur montant...etc

"MOUAHAHA" me direz-vous ? Et vous aurez raison. Et vu que c'est sans contact, ça devient facile par exemple d'aspirer ces infos, simplement en vous rapprochant d'un sac ou d'une poche avec le lecteur qui va bien. Il est même tout à fait faisable de dupliquer la carte (Yes!) puisque dans la puce NFC, on retrouve les infos de la bande magnétique. Du coup, dans certains pays étrangers, où sur les bornes qui se contente de la bande magnétique, ces copies de cartes peuvent parfaitement fonctionner.

D'après Renaud, cette négligence est due au fait que, je cite : "le protocole (EMV - celui des cartes traditionnelles) a été repris tel quel et utilisé 'dans les airs' sans se poser plus de questions".

Quelle bande de sacrés rigolos au GIE !! D'ailleurs, la CNIL, le Ministère des Finances, le Ministère de l'Intérieur et toute la cavalerie sont sur le coup pour évaluer les risques et surtout demander des comptes au GIE. Petit détail amusant, sur le site de Visa, plus précisément dans la FAQ, on trouve la citation "Epic bullshit" suivante :

Au niveau technique, la fonctionnalité sans contact est basée sur une carte à puce développée à partir de la technologie EMV, qui protège les données du porteur par des cryptogrammes dynamiques très sécurisés.
D’ores et déjà déployée à grande échelle depuis plusieurs années dans le monde, la technologie sans contact s’est avérée, à l’usage, être un moyen de paiement très sécurisé.

Avec un simple dongle NFC USB à 40 €, et une application dont le code source a été mis en ligne ici, il est possible de récupérer toutes ces infos. Mais on peut très bien imaginer un portage sur Android qui fonctionnerait parfaitement avec des téléphones compatibles NFC comme le Samsung Nexus S. En fait, ce portage existe déjà et le code source devrait bientôt sortir...
------------
Le reste, ici:
http://korben.info/les-cartes-bancaires-sa...securisees.html

La demo ici:
http://www.ustream.tv/recorded/21805507

[scoch]

La présentation vaut son pesant de cacahuètes.

Fameux !

"We HAVEN'T BROKEN any security or tried to, because there is none!"

[pagaupa]

j'ai bien eu raison de ne pas accepter cette fonction.
On va laisser les autres payer les pots cassés...

[johnstone]

La présentation vaut son pesant de cacahuètes.

Excellent!

[Zazen]

Il me semble bien que le GIE Cartes bancaire réagit comme à son habitude (cf. Serge Humpich), en niant le problème plutôt qu'en cherchant à la résoudre...

[counane]

il avait fait une émission télé la dessus au Canada, il y a quelques semaines
Un journaliste se baladait dans un "food court" a Montréal, et il se mettait dans un queue de personnes , passé son scanner sur la poche arrière des gars ou proche des sacs à main de femmes et récupérait les info de la carte. Ensuite il demandait au gens si les infos récupérées correspondaient a la réalité.
Les gens étaient attérés

Il disait que son scanner lui avait couté 100$ il me semble.
Donc un truc seulement exploitable en laboratoire, bof j'y crois pas

[marc_os]

La présentation vaut son pesant de cacahuètes.

Fameux !

"We HAVEN'T BROKEN any security or tried to, because there is none!"

Ça me rappelle le "it's not a bug, it's a feature !"
Quelle bande de branquignolles quand même !

Ce message a été modifié par marc_os - 26 Apr 2012, 17:12.

[counane]

il avait fait une émission télé la dessus au Canada, il y a quelques semaines
Un journaliste se baladait dans un "food court" a Montréal, et il se mettait dans un queue de personnes , passé son scanner sur la poche arrière des gars ou proche des sacs à main de femmes et récupérait les info de la carte. Ensuite il demandait au gens si les infos récupérées correspondaient a la réalité.
Les gens étaient attérés

Il disait que son scanner lui avait couté 100$ il me semble.
Donc un truc seulement exploitable en laboratoire, bof j'y crois pas

pour info voici la preuve par l'image:
http://www.radio-canada.ca/nouvelles/Econo...s-contact.shtml

L'emission complete qui parle de ca: http://www.tou.tv/la-facture/s2011e14
par contre pas sur que ca soit visible en dehors du Canada !!


edit: après revisionage et pour être totalement honnête, en fait il avait un vrai lecteur de carte RFID pour carte de crédit acheté sur internet, donc ça n'a pas vraiment de rapport avec la faille. Ca prouve juste qu'il est facile de récupérer les infos

Ce message a été modifié par counane - 26 Apr 2012, 17:23.

[HyperBallad]

j'ai bien eu raison de ne pas accepter cette fonction.
On va laisser les autres payer les pots cassés...

On n'a pas toujours le choix. La carte arrive à expiration, et celle qu'on reçoit contient cette fonction.

Ce message a été modifié par HyperBallad - 26 Apr 2012, 18:01.

[TiSyl]

Ca va faire comme Moneo, ca prendras pas vraiment.

Et puis on est si pressé que çà pour ne plus à avoir le temps d'insérer une carte dans un lecteur et taper son code (même si le risque éxiste toujours) ??
Je risque au moins de ne pas me faire renifler le derrière par un scanner RFID !!

Autant des cartes de métro, bus.. je veux bien, mais des cartes de paiement... bof bof

[ungars]

Quand je pense à ce que l'on risque si l'on sécurise mal sa connexion internet, et quelle est piratée pour des téléchargements illégaux...
Ces trous du cul bancaires, ça fait peur. Ils sont irresponsables. A la limite de la délinquance. QUI OSERA LEUR BRISER LES REINS ?

[MixUnix]

La négation des manques de sécurité sur les cartes de crédit n'est pas nouveau,par exemple, les TRES (TRES)graves menaces de l'Establishment Bancaire à l'encontre de celui qui avait trouvé une des failles, et appliqué, pour prouver sa bonne foi, par des retraits de 1 CENTIME de F .
Ils sont toujours aussi arrogants et détestables pour ne pas dire plus...
Ils sont aussi la SEULE cause des problèmes de crise aujourd'hui...

[Steff-X]

Ca va faire comme Moneo, ca prendras pas vraiment.

Et puis on est si pressé que çà pour ne plus à avoir le temps d'insérer une carte dans un lecteur et taper son code (même si le risque éxiste toujours) ??
Je risque au moins de ne pas me faire renifler le derrière par un scanner RFID !!

Autant des cartes de métro, bus.. je veux bien, mais des cartes de paiement... bof bof

Ben le plus affligeant c'est que le pass Navigo (même technologie) est super sécurisé alors que les cartes bancaires envoient toutes les données EN CLAIR !!

[jinkazama]

Oui, certaines personnes dane le GIE CB sont puantes...

Enfin, ils ont envoyé le bon message, la prochaine fois que la puce sera craquée, ça sera utilisé direct (ou revendu a l'est...) et la reaction sera connue lorsqu'ils aurront perdu quelques milliards...

Pour revenir au NFC (paypass/paywave), le but est de remplacer la monnaie (boulangerie, ticket de metro etc.) - afin de pouvoir se debarasser ou marginaliser les especes, (ce qui permet au passage d'avoir un controle sur la population et taxation, ca sera donc mis en avant par le gouvernement...)

Il ne faut pas oublier que quand vous utilisez votre CB, le commercant paye des frais assez elevés sur la transaction (1-3% pour 15 euros) et qu'au niveau legal, il n'a pas le droit de vous les faire payer (dans certains pays d'asie : CB => 2-3% en +)

Perso, je connai une alternative devellopé a Hong Kong => La carte octopus, equivalent du cash, non nominative, sans declaration d'identité et reglement seulement en especes, mis au point pour le metro puis peu a peu devellopé pour la pluspart des transports en commun et certains petit commerces => C'est quand meme bien different de moneo ou paypass/paywave, c'est pour cette raison que ça marche depuis + de 10 ans...