Les étonnantes fuites de la carte bancaire sans contact Jerome Saiz le 4 avril 2012 à 11h59, dans la rubrique Produits & Technologies Commentaires (9) banquescarte bancairegs-daysmastercardvisa Du côté des émetteurs de cartes, en revanche, des solutions sont envisageables… à condition de vouloir régler le problème ! Car autant l’on peut comprendre l’absence d’authentification du porteur pour des raisons pratiques, autant le manque d’authentification mutuelle entre la carte et le terminal de paiement, ainsi que le manque de chiffrement des transactions, étonnent. Les cartes bancaires à puce savent très bien réaliser une poignée de main cryptographique. Pourquoi ne seraient-elles pas en mesure de le faire pour échanger une clé de session avec le lecteur sans contact ? (après tout les algorithmes cryptographiques d’échange de clé ont fait leurs preuves depuis longtemps !) D’autant que depuis 2008 et le passage des cartes bancaires françaises en mode Dynamic Data Authentication (DDA), les cartes disposent toutes d’un cryptoprocesseur dédié tout à fait capable d’assurer la génération et l’échange d’une clé de session. Cela permettrait d’éviter l’écoute sauvage. Même question pour l’absence d’authentification mutuelle entre la carte et le lecteur au moment de l’interrogation des données (elle a probablement lieu lors de la validation de la transaction). Pourquoi ne pas la forcer immédiatement, au moment de l’établissement du dialogue ? Toutes ces décisions s’expliquent certainement par la recherche d’un acte de paiement simple et rapide, avec comme garantie la certitude, pour les banques, de savoir calculer le montant maximal de la fraude éventuelle. Mais, comme l’a démontré Renaud Lifchitz, les autres risques (extraction du nom du porteur à des fins d’identification d’une cible dans une foule, clonage de la piste magnétique) n’ont peut-être pas été estimés à leur juste valeur… → Lire la suite de cet article: Page 1 Page 2 Page 3 Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!