En avril 2012, un consultant en sécurité informatique a découvert une incroyable faille dans les cartes bancaires équipées d’une puce de paiement sans contact. Erreur de conception ou contrôle qualité hasardeux... nos données bancaires confidentielles peuvent facilement être piratées et réutilisées sur internet...
Retour sur les faits
Récemment deux grands rendez-vous de la sécurité informatique se sont déroulés à Paris : les "GS Days 2012" qui est le colloque des "journées francophones de la sécurité" le 3 avril 2012 ainsi que la conférence "Hackito Ergo Sum" qui a regroupé du 12 au 14 avril quatre cents hackers informatiques de 40 nationalités différentes, venus faire le point sur les dernières découvertes dans le domaine de la sécurité informatique. En ces deux occasions, Renaud Lifchitz, Consultant en sécurité de l'information au sien de BT Global Services (Société informatique internationale de 37 000 collaborateurs présente dans 173 pays qui propose ses services aux grandes entreprises) a pointé du doigt une faille logicielle dans le système des cartes bancaires de paiement sans contact VISA payWave & MasterCard PayPass (utilisant la technologie NFC).
Cette technologie NFC (Near Field Communication) permet de réaliser des achats sans contact entre le moyen de paiement et une machine réceptrice d'informations. Ce type de solution permet donc en principe de faciliter et fluidifier les petites transactions du quotidien (inférieures à 20 euros) en réglant ses achats depuis un périphérique comme une carte bancaire, un Smartphone, une tablette…
Renaud Lifchitz a démontré, à titre personnel comme "défi technique", comme il est simple de pirater une carte de paiement "sans contact" durant une opération bancaire ou simplement en aspirant ses informations alors qu'elle se trouve dans la poche de son propriétaire.
Il a utilisé une simple clé USB NFC (environ 40 euros) connectée à un ordinateur portable ou bien à un Smartphone afin de capter les communications. À l’aide d’une petite application développée pour l’occasion, la clé USB se comporte alors comme un terminal de paiement et permet de capter et d' interpréter le signal émis par la carte placée juste à côté. Ce dispositif a permis de récupérer à distance et d'afficher le nom du porteur, le numéro de la carte (16 chiffres du code PAN), la date d’expiration, ainsi que le détail des 20 dernières transactions sur l’écran de son ordinateur. En outre, les données contenues dans la bande magnétique de la carte bancaire peuvent être également consultées par un éventuel pirate. En effet, une copie numérique de cette bande est stockée dans la puce qui devient de fait interrogeable par NFC. Ainsi il devient possible de cloner la carte bancaire sans même un lecteur de carte à puce...
Cela sonne mal alors que le marché des NFC est actuellement en pleine expansion
Dans un communiqué de presse du 22 mars 2012, la Fédération Française des Telecom indiquait que les opérateurs investissent dans le déploiement harmonieux des services mobiles sans contact, en France. Le sans contact mobile apparait comme une innovation majeure pour les consommateurs français. "Cette technologie permet d’offrir aux consommateurs une nouvelle génération de services à portée de main. Le principe de ces services mobiles sans contact est simple : d’un geste de la main, en passant son téléphone mobile sur un lecteur adapté, l’utilisateur peut interagir avec son environnement direct. Les applications actuellement développées sont extrêmement variées : les collectivités territoriales proposeront des applications autour de la valorisation du patrimoine culturel (informations sur mobile, billetterie,…), de l’éducation, de la santé (identification, traçabilité,…), des loisirs ou encore pour faciliter l’accès aux services publics locaux (bibliothèques, stationnement,…). D’autres usages vont également rapidement se diffuser, notamment la validation des titres de voyage pour les réseaux de transports publics, mais aussi le paiement de proximité, les programmes de fidélité, voire, à terme, les services à la personne.
500 000 mobiles permettant d’utiliser ces services sont déjà entre les mains de clients français et ce chiffre devrait atteindre 2,5 millions à la fin de l’année. Les opérateurs ont la vocation de diffuser cette technologie à leurs 65 millions de clients sur l’ensemble du territoire français, en accompagnement des collectivités locales.
Le sans contact mobile, un levier de croissance et un enjeu de compétitivité pour la France : la mise en œuvre de nouveaux services de proximité via les mobiles dans neuf territoires (Bordeaux, Caen, Grenoble, Marseille, Mulhouse, Strasbourg Toulon, Toulouse ainsi que le Comité régional du tourisme (CRT) d’Ile-de-France) devrait permettre à l’ensemble des acteurs français d’accentuer leur avance dans un domaine d’activités en plein foisonnement partout dans le monde.
En s’appuyant sur la concrétisation de ces projets et à travers la valeur ajoutée ainsi créée, tous les acteurs impliqués pourront trouver des relais de croissance important pour leurs activités, en France et à l’étranger, ce qui favorisera l’emploi et la compétitivité des industries françaises. Tous les secteurs d’activité peuvent être acteurs de cette révolution technologique, en imaginant et développant avec les opérateurs de nouveaux services sans contact mobile."
A moins que des problèmes critiques de sécurité ne viennent ralentir ces belles initiatives...
Ce que Renaud Lifchitz a mis en évidence
Le standard international de sécurité EMV (Europay Mastercard Visa) qui est utilisé en France, depuis fin 2006, par le système national des Cartes Bancaires (CB) et l'ensemble du parc des terminaux de paiement électroniques (ou TPE) et qui est supposé garantir :
• interopérabilité internationale (quel que soit l'émetteur de la carte et quel que soit le terminal de paiement)
• vérification et chiffrement de la clé personnelle par la puce
Par sa démonstration, Renaud Lifchitz remet en question le standard EMV qui selon lui aurait été utilisé tel quel via la technologie NFC, sans se poser plus de questions sur la sécurité des échanges entre la carte et le lecteur qui n’est pas cryptée...
Nous avons donc ici une non-conformité aux spécifications techniques internationales PCI DSS* qui exigent, en autre, le chiffrement de la transmission des données des détenteurs de cartes de crédit et de l'information confidentielle par le biais des réseaux publics.
En principe, les cartes de paiement affichant le sigle EMV (Europay Mastercard Visa) sont dotées d'un système de vérification et de cryptage de la clé personnelle par la puce. Certaines d'entre elles proposent également des moyens d'authentification forte comme le mot de passe unique (OTP, pour One Time Password). Pourtant, certaines cartes compatibles avec le NFC ne proposent pas ce type de sécurisation.
Quelles sont les conséquences possibles ?
Les spécifications EMV ne semblent pas avoir été respectées dans la fabrication des cartes de paiement. Le contre argument avancé par les banques est que d'une part il est impossible d'intercepter les informations au delà d'une dizaine de centimètres et d'autre part, le paiement sans contact est limité pour des petites sommes d'un montant maximum de 20 euros.
Mais de son côté, Renaud Lifchitz a démontré qu'avec du matériel d'environ 2000 euros, il est possible d'intercepter des transmissions de paiement à plusieurs mètres de distance. En outre, les informations piratées lors d'une transaction sans contact peuvent très facilement être utilisées pour réaliser des transactions d'achat sur internet sans authentification du porteur, c'est-à-dire partout où le code PIN n’est pas demandé, donc à l’étranger (dans les pays "hors EMV" demandant uniquement le numéro de carte bancaire et la date d'expiration mais pas le cryptogramme des trois derniers chiffres placés au dos de la carte).
Renaud Lifchitz a alerté sa banque qui l’a remercié pour cette information. Mais il n'a pas eu de retour d'autres banques. Seuls les organismes publics : ministère des Finances, ministère de l’Intérieur, ainsi que la CNIL ont été intéressés. Et il communique avec cette dernière "pour mettre en place un protocole".
Jean-Marc Bornet Administrateur du GIE Cartes Bancaires a été alerté de cette faille. Il explique qu'afin d'éviter les risques de perte de données, le groupement collabore étroitement avec les autorités publiques compétentes et ajoute que désormais, les banques distribuent des étuis capables d'agir comme des cages de Faraday pour empêcher le piratage électronique ... En effet, cette cage de Faraday permet au moins de se protéger lorsqu'on n'utilise pas sa carte NFC.
Quelles sont les parades possibles pour le paiement sans contact ?
Pour Armand Heslot Ingénieur expert en systèmes d'information à la CNIL, il existe des solutions assez simples qui pourraient être mises en œuvre :
- l’emploi d’un code PIN différent pour la partie sans contact (Cf. un rapport de l’observatoire de la sécurité des cartes de paiement datant de 2009).
- laisser le contrôle complet de cette partie à l’utilisateur, qui pourra donc choisir de la désactiver (recommandation de la Banque de France).
Renaud Lifchitz indique que pour se protéger la seule solution consiste à utiliser un étui en métal, faisant office de "cage de Faraday" neutralisant ainsi tout rayonnement électromagnétique. Néanmoins, une véritable transmission cryptée est nécessaire. Il explique que "des mesures sont prévues et qu'il suffirait de les activer" d'autant que les cartes sont équipées d'une puce dédiée au cryptage des données...
On peut légitimement s'interroger sur cette faille informatique dans laquelle la protection des données personnelles a été négligée.
S'agit-il d'une erreur de conception ? Les procédures de contrôle qualité ont-elle été bâclées ? Pour Renaud Lifchitz, les protocoles de sécurisation ont été repris à l'identique des cartes de paiement avec contact, sans adaptation aux contraintes et risques de piratage technique de télécommunication par radio. "La phase d'industrialisation a peut-être été un peu trop rapide..." d'après lui.
Gageons que les différents spécialistes œuvrent très rapidement à la correction de cette faille avant que d'autres acteurs émergents comme les USA ou le Japon ne s'emparent de ce marché en plein développement...
* La norme Payment Card Industry Data Security Standard (PCI DSS) créée conjointement par MasterCard et VISA porte sur la sécurisation des données de détenteurs de cartes de crédit. Au cours d'une transaction, des données sensibles telles que les numéros de cartes de crédit sont transmises, traitées et parfois conservées pour de brefs instants. Afin de s'assurer que ces données sensibles sont adéquatement protégées durant toutes les étapes du processus transactionnel, la norme PCI DSS impose, à l'ensemble des acteurs de l'industrie du paiement, l'adoption de mesures de sécurité.
La norme PCI DSS a donc pour objectif de protéger les données reliées à l'utilisation des cartes de crédit. Pour être conformes, les acteurs de l'industrie du paiement qui conservent, traitent ou transmettent des numéros de cartes de crédit doivent satisfaire aux 12 exigences de bon sens et de sécurité dont "Protéger les données des détenteurs de cartes de crédit" (protéger les données des détenteurs de cartes de crédit stockées et chiffrer la transmission des données des détenteurs de cartes et de l'information confidentielle par le biais des réseaux publics.)
Eric Hansen
Retour sur les faits
Récemment deux grands rendez-vous de la sécurité informatique se sont déroulés à Paris : les "GS Days 2012" qui est le colloque des "journées francophones de la sécurité" le 3 avril 2012 ainsi que la conférence "Hackito Ergo Sum" qui a regroupé du 12 au 14 avril quatre cents hackers informatiques de 40 nationalités différentes, venus faire le point sur les dernières découvertes dans le domaine de la sécurité informatique. En ces deux occasions, Renaud Lifchitz, Consultant en sécurité de l'information au sien de BT Global Services (Société informatique internationale de 37 000 collaborateurs présente dans 173 pays qui propose ses services aux grandes entreprises) a pointé du doigt une faille logicielle dans le système des cartes bancaires de paiement sans contact VISA payWave & MasterCard PayPass (utilisant la technologie NFC).
Cette technologie NFC (Near Field Communication) permet de réaliser des achats sans contact entre le moyen de paiement et une machine réceptrice d'informations. Ce type de solution permet donc en principe de faciliter et fluidifier les petites transactions du quotidien (inférieures à 20 euros) en réglant ses achats depuis un périphérique comme une carte bancaire, un Smartphone, une tablette…
Renaud Lifchitz a démontré, à titre personnel comme "défi technique", comme il est simple de pirater une carte de paiement "sans contact" durant une opération bancaire ou simplement en aspirant ses informations alors qu'elle se trouve dans la poche de son propriétaire.
Il a utilisé une simple clé USB NFC (environ 40 euros) connectée à un ordinateur portable ou bien à un Smartphone afin de capter les communications. À l’aide d’une petite application développée pour l’occasion, la clé USB se comporte alors comme un terminal de paiement et permet de capter et d' interpréter le signal émis par la carte placée juste à côté. Ce dispositif a permis de récupérer à distance et d'afficher le nom du porteur, le numéro de la carte (16 chiffres du code PAN), la date d’expiration, ainsi que le détail des 20 dernières transactions sur l’écran de son ordinateur. En outre, les données contenues dans la bande magnétique de la carte bancaire peuvent être également consultées par un éventuel pirate. En effet, une copie numérique de cette bande est stockée dans la puce qui devient de fait interrogeable par NFC. Ainsi il devient possible de cloner la carte bancaire sans même un lecteur de carte à puce...
Cela sonne mal alors que le marché des NFC est actuellement en pleine expansion
Dans un communiqué de presse du 22 mars 2012, la Fédération Française des Telecom indiquait que les opérateurs investissent dans le déploiement harmonieux des services mobiles sans contact, en France. Le sans contact mobile apparait comme une innovation majeure pour les consommateurs français. "Cette technologie permet d’offrir aux consommateurs une nouvelle génération de services à portée de main. Le principe de ces services mobiles sans contact est simple : d’un geste de la main, en passant son téléphone mobile sur un lecteur adapté, l’utilisateur peut interagir avec son environnement direct. Les applications actuellement développées sont extrêmement variées : les collectivités territoriales proposeront des applications autour de la valorisation du patrimoine culturel (informations sur mobile, billetterie,…), de l’éducation, de la santé (identification, traçabilité,…), des loisirs ou encore pour faciliter l’accès aux services publics locaux (bibliothèques, stationnement,…). D’autres usages vont également rapidement se diffuser, notamment la validation des titres de voyage pour les réseaux de transports publics, mais aussi le paiement de proximité, les programmes de fidélité, voire, à terme, les services à la personne.
500 000 mobiles permettant d’utiliser ces services sont déjà entre les mains de clients français et ce chiffre devrait atteindre 2,5 millions à la fin de l’année. Les opérateurs ont la vocation de diffuser cette technologie à leurs 65 millions de clients sur l’ensemble du territoire français, en accompagnement des collectivités locales.
Le sans contact mobile, un levier de croissance et un enjeu de compétitivité pour la France : la mise en œuvre de nouveaux services de proximité via les mobiles dans neuf territoires (Bordeaux, Caen, Grenoble, Marseille, Mulhouse, Strasbourg Toulon, Toulouse ainsi que le Comité régional du tourisme (CRT) d’Ile-de-France) devrait permettre à l’ensemble des acteurs français d’accentuer leur avance dans un domaine d’activités en plein foisonnement partout dans le monde.
En s’appuyant sur la concrétisation de ces projets et à travers la valeur ajoutée ainsi créée, tous les acteurs impliqués pourront trouver des relais de croissance important pour leurs activités, en France et à l’étranger, ce qui favorisera l’emploi et la compétitivité des industries françaises. Tous les secteurs d’activité peuvent être acteurs de cette révolution technologique, en imaginant et développant avec les opérateurs de nouveaux services sans contact mobile."
A moins que des problèmes critiques de sécurité ne viennent ralentir ces belles initiatives...
Ce que Renaud Lifchitz a mis en évidence
Le standard international de sécurité EMV (Europay Mastercard Visa) qui est utilisé en France, depuis fin 2006, par le système national des Cartes Bancaires (CB) et l'ensemble du parc des terminaux de paiement électroniques (ou TPE) et qui est supposé garantir :
• interopérabilité internationale (quel que soit l'émetteur de la carte et quel que soit le terminal de paiement)
• vérification et chiffrement de la clé personnelle par la puce
Par sa démonstration, Renaud Lifchitz remet en question le standard EMV qui selon lui aurait été utilisé tel quel via la technologie NFC, sans se poser plus de questions sur la sécurité des échanges entre la carte et le lecteur qui n’est pas cryptée...
Nous avons donc ici une non-conformité aux spécifications techniques internationales PCI DSS* qui exigent, en autre, le chiffrement de la transmission des données des détenteurs de cartes de crédit et de l'information confidentielle par le biais des réseaux publics.
En principe, les cartes de paiement affichant le sigle EMV (Europay Mastercard Visa) sont dotées d'un système de vérification et de cryptage de la clé personnelle par la puce. Certaines d'entre elles proposent également des moyens d'authentification forte comme le mot de passe unique (OTP, pour One Time Password). Pourtant, certaines cartes compatibles avec le NFC ne proposent pas ce type de sécurisation.
Quelles sont les conséquences possibles ?
Les spécifications EMV ne semblent pas avoir été respectées dans la fabrication des cartes de paiement. Le contre argument avancé par les banques est que d'une part il est impossible d'intercepter les informations au delà d'une dizaine de centimètres et d'autre part, le paiement sans contact est limité pour des petites sommes d'un montant maximum de 20 euros.
Mais de son côté, Renaud Lifchitz a démontré qu'avec du matériel d'environ 2000 euros, il est possible d'intercepter des transmissions de paiement à plusieurs mètres de distance. En outre, les informations piratées lors d'une transaction sans contact peuvent très facilement être utilisées pour réaliser des transactions d'achat sur internet sans authentification du porteur, c'est-à-dire partout où le code PIN n’est pas demandé, donc à l’étranger (dans les pays "hors EMV" demandant uniquement le numéro de carte bancaire et la date d'expiration mais pas le cryptogramme des trois derniers chiffres placés au dos de la carte).
Renaud Lifchitz a alerté sa banque qui l’a remercié pour cette information. Mais il n'a pas eu de retour d'autres banques. Seuls les organismes publics : ministère des Finances, ministère de l’Intérieur, ainsi que la CNIL ont été intéressés. Et il communique avec cette dernière "pour mettre en place un protocole".
Jean-Marc Bornet Administrateur du GIE Cartes Bancaires a été alerté de cette faille. Il explique qu'afin d'éviter les risques de perte de données, le groupement collabore étroitement avec les autorités publiques compétentes et ajoute que désormais, les banques distribuent des étuis capables d'agir comme des cages de Faraday pour empêcher le piratage électronique ... En effet, cette cage de Faraday permet au moins de se protéger lorsqu'on n'utilise pas sa carte NFC.
Quelles sont les parades possibles pour le paiement sans contact ?
Pour Armand Heslot Ingénieur expert en systèmes d'information à la CNIL, il existe des solutions assez simples qui pourraient être mises en œuvre :
- l’emploi d’un code PIN différent pour la partie sans contact (Cf. un rapport de l’observatoire de la sécurité des cartes de paiement datant de 2009).
- laisser le contrôle complet de cette partie à l’utilisateur, qui pourra donc choisir de la désactiver (recommandation de la Banque de France).
Renaud Lifchitz indique que pour se protéger la seule solution consiste à utiliser un étui en métal, faisant office de "cage de Faraday" neutralisant ainsi tout rayonnement électromagnétique. Néanmoins, une véritable transmission cryptée est nécessaire. Il explique que "des mesures sont prévues et qu'il suffirait de les activer" d'autant que les cartes sont équipées d'une puce dédiée au cryptage des données...
On peut légitimement s'interroger sur cette faille informatique dans laquelle la protection des données personnelles a été négligée.
S'agit-il d'une erreur de conception ? Les procédures de contrôle qualité ont-elle été bâclées ? Pour Renaud Lifchitz, les protocoles de sécurisation ont été repris à l'identique des cartes de paiement avec contact, sans adaptation aux contraintes et risques de piratage technique de télécommunication par radio. "La phase d'industrialisation a peut-être été un peu trop rapide..." d'après lui.
Gageons que les différents spécialistes œuvrent très rapidement à la correction de cette faille avant que d'autres acteurs émergents comme les USA ou le Japon ne s'emparent de ce marché en plein développement...
* La norme Payment Card Industry Data Security Standard (PCI DSS) créée conjointement par MasterCard et VISA porte sur la sécurisation des données de détenteurs de cartes de crédit. Au cours d'une transaction, des données sensibles telles que les numéros de cartes de crédit sont transmises, traitées et parfois conservées pour de brefs instants. Afin de s'assurer que ces données sensibles sont adéquatement protégées durant toutes les étapes du processus transactionnel, la norme PCI DSS impose, à l'ensemble des acteurs de l'industrie du paiement, l'adoption de mesures de sécurité.
La norme PCI DSS a donc pour objectif de protéger les données reliées à l'utilisation des cartes de crédit. Pour être conformes, les acteurs de l'industrie du paiement qui conservent, traitent ou transmettent des numéros de cartes de crédit doivent satisfaire aux 12 exigences de bon sens et de sécurité dont "Protéger les données des détenteurs de cartes de crédit" (protéger les données des détenteurs de cartes de crédit stockées et chiffrer la transmission des données des détenteurs de cartes et de l'information confidentielle par le biais des réseaux publics.)
Eric Hansen