Alors que les cartes bancaires sans contact s’apprêtent à débarquer en masse dans nos porte-feuilles, un membre de l’Association des Réservistes du Chiffre et de la Sécurité de l’Information (ARCSI) s’est intéressé à la technologie sans contact qu’elles embarquent. Bilan : ces cartes sont très bavardes et particulièrement simples à faire parler ! Les échanges sans contact ne sont en effet ni chiffrés ni authentifiés.

A l’occasion des GS Days 2012, Renaud Lifchitz a ainsi démontré comment il est parvenu à « faire parler » sa propre carte Visa sans contact à l’aide d’un lecteur NFC USB vendu par correspondance pour une quarantaine d’euros, et d’un peu de développement propriétaire (c’est le plus compliqué !)

La démonstration parle d’elle-même : en glissant sa carte près du lecteur USB le chercheur affiche à l’écran de son ordinateur ses nom et prénom, le numéro complet de sa carte bancaire et sa date d’expiration. Et en guise de bonus, la carte stocke aussi les dernières transactions réalisées (montant, date, devise). Le tout en moins d’une seconde et sans aucune forme d’authentification.

Mais il y a pire : selon Renaud Lifchitz il est également possible d’accéder à l’intégralité du contenu de la bande magnétique à travers l’interface sans contact (mais il ne l’a pas démontré en public). Ce qui permettrait alors de cloner la carte, avec tous les usages frauduleux que l’on sait. Certes, il déjà possible de lire le contenu de la piste magnétique d’une carte bancaire armé d’un simple lecteur (par skimming via un faux distributeur de billets ou à distance par écoute radio au moment de l’utilisation de la carte : c’est déjà un business !). Mais le fait de pouvoir y accéder par simple frôlement d’un téléphone mobile contre la poche de la victime rend le risque de fraude largement plus élevé.

Une protection inexistante

Si la principale défense des émetteurs de carte consiste à dire que la sécurité est assurée par la proximité exigée entre le lecteur et la carte, l’argument ne séduit pas le chercheur. Tout d’abord parce que Renaud Lifchitz démontre ensuite comment il a pu transformer son smartphone Android en lecteur de cartes Visa sans contact. Plus besoin de transporter un ordinateur portable, il suffit de frôler la poche d’une victime avec son propre téléphone mobile pour extraire les données personnelles et bancaires. L’image d’une rame de métro en heure de pointe vient alors immédiatement à l’esprit…