Renaud Liftchitz, consultant sécurité chez BT, opérateur britannique de télécommunications, a exposé les dangers des cartes bancaires sans contact, vendredi, lors de la conférence Hackito ergo sum . Ces nouveaux moyens de paiement arrivent en Europe après s'être fortement développés aux Etats-Unis.
Qu'est-ce qu'une carte bancaire sans contact?
C'est une nouvelle génération de cartes faites pour payer plus rapidement. On la passe à quelques centimètres d'un terminal de paiement sans avoir à taper de code PIN, à la différence de la carte à puce normale qui doit être insérée dans un terminal de paiement et nécessite un code de sécurité. La carte sans contact n'est pas du tout sécurisée. Les informations à caractère personnel qu'elle contient sont très facilement accessibles à distance. Elle a fait son apparition en France et en Europe depuis quelques mois. Il y en a déjà 10 millions en circulation aux États-Unis.
Quel est le danger?
Il y a une seule sécurité: on ne peut faire que des paiements inférieurs à 20 euros, quatre fois d'affilée. Ces sommes sont directement débitées sur le compte du porteur.
Le problème c'est que n'importe qui, avec un téléphone ou un ordinateur, peut «parler» avec votre carte et lui envoyer des commandes, comme s'ils s'agissait du terminal d'un commerçant. Il suffit d'une petite clé USB en vente libre ou d'un téléphone pour lire toutes les informations et les réutiliser pour payer sur internet. Nom, prénom, numéro de carte et date d'expiration: ces données ne sont pas cryptées.
De plus, les distances d'action sont bien plus importantes que ce que prétendent les fabricants. Normalement, un paiement se fait à 3 cm. J'ai montré qu'on pouvait lire une carte jusqu'à 1 m 50, voire 15 m de distance, avec une simple antenne de radio télescopique comme il y en a sur les vieilles radios. C'est un dispositif qui tient dans un sac à dos.
Photo Thomas Purves, CC BY
Comment avez-vous été alerté de ce problème?
Au mois de décembre, certains de nos clients, notamment des banques, nous ont dit qu'ils allaient adopter ce système. Depuis nos mises en garde, certaines vont freiner le développement de ces cartes, d'autres vont choisir le paiement mobile. Celui-ci n'est pas forcément plus sécurisé mais on n'a pas encore étudié la question! Les banques vont devoir repenser complètement la conception de ces cartes, et pas uniquement leur
fabrication.
Quels sont les enjeux de demain en terme de fichage informatique?
Il faut savoir qu'à l'heure actuelle, votre numéro de carte complet ainsi que vos noms et prénoms apparaissent souvent sur les facturettes des commerçants. Les passeports biométriques, mis sur le marché il y a trois ou quatre ans, utilisent aussi un système sans contact et sont en partie lisibles à distance, notamment la nationalité.
Le quotidien est de plus en plus technologique. Bientôt, tout sera interconnecté: les frigos, les ouvertures, le chauffage... On va avoir de plus en plus de problèmes de sécurité. Il faut dès aujourd'hui se battre pour protéger les données et la vie privée. Ces questions ne relèvent plus uniquement de la sphère professionnelle. Cela va être le problème de tout un chacun.