Carte de paiement NFC : enquête de la CNIL

Depuis plusieurs mois, les institutions bancaires proposent des cartes dotées d'une puce NFC à leurs clients. Cette technologie sans contact est utilisée pour effectuer des paiements de faible valeur (20 € au maximum), mais la sécurité est visiblement assez faible.

Après plusieurs articles sur le sujet, la CNIL a donc décidé de s'intéresser au problème : la commission effectue donc « des investigations techniques afin d'identifier d'éventuels problèmes de sécurité et d'évaluer leurs conséquences en termes d'impact sur la vie privée des porteurs de carte. ».

Le problème est simple : il est visiblement assez simple, à partir d'un lecteur USB (une quarantaine d'euros) ou d'un smartphone NFC de lire des informations sur les cartes. On trouve notamment le nom et prénom du propriétaire de la carte, son sexe, le numéro de la carte, l'historique des transactions, la date d'expiration et — plus gênant — les données de la bande magnétique. Pour ce dernier point, c'est un gros problème : il est possible d'effectuer des paiements simplement avec cette bande magnétique dans certains pays. Pour le numéro de la carte, si le code confidentiel n'est pas présent, il reste assez aisément récupérable en force brute.

Le plus gros souci est que si les cartes ne sont censées fonctionner qu'à quelques centimètres au maximum, il est possible d'augmenter fortement la portée en utilisant du matériel dédié : 1,5 mètre avec un amplificateur, 15 mètres avec des antennes dédiées. Il y a peu de moyens de se protéger, le plus efficace étant de placer la carte dans un portefeuille « blindé » qui bloque les fréquences utilisées.

Notons que le problème ne touche que les cartes bancaires NFC. S'il est possible (et assez simple) de lire un pass Navigo par exemple, il ne contient pas de données personnelles accessibles.

Il ne reste plus qu'à attendre que la CNIL boucle son enquête pour et donne son avis sur le problème.