Journal Les avantages du paiement sans contact.

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
21
5
avr.
2012

Ave

Vous avez un téléphone dernier cri, avec le NFC/paiement sans contact ?

Bravo.

Retenez-vous encore un peu de l'utiliser, parce que c'est moyennement sécurisé (ça me rappelle ceux qui parlaient de sécurité totale avec le WEP, à une époque pas si lointaine.

Un article qui détaille tout cela
http://www.securityvibes.fr/produits-technologies/visa-mastercard-carte-sans-contact/

L'expression "chérie, je vais retirer de l'argent dans le métro et je reviens" va devenir populaire.

Je m'étais marré à la lecture du hors-série de MISC sur les cartes à puce, comme toujours, l'ingéniosité des personnes cherchant à tester une sécurité est étonnante.

http://www.ed-diamond.com/produit.php?ref=mischs2&id_rubrique=9&caracteristique=&caracdisp=#

Je sens que j'aurai bientôt une lecture analogue sur le NFC…

  • # Les attaques existent déjà

    Posté par  (site web personnel) . Évalué à 7.

    La protection des NFC est leur distance faible nécessaire avec l’antenne. Mais si l'utilisateur ne peut pas couper cette puce, ce qui est vrai pour une carte à puce, mais sans doute faux pour un smartphone, il existe déjà des attaques.

    Le principe est d'utiliser des relais. En gros, un type se balade avec une antenne s'accroche aux cartes des passants, envois le signal à un complice qui le renvoi sur une borne de paiement.

    Il y a des contraintes de timing, mais il ne faut pas oublier que les NFC étaient alimentés par l’émission de l'antenne et que l’électronique doit consommer un minimum et donc être assez lent.

    "La première sécurité est la liberté"

  • # Un problème d'utilisation

    Posté par  . Évalué à 3. Dernière modification le 05 avril 2012 à 14:54.

    Comme d'habitude, le problème vient plutôt du mauvais usage qui en est fait que de la puce en elle-même. Généralement, celles-ci disposent de toutes les protections hardware nécessaires (chiffrement, vrai générateur de nombres aléatoires, etc). La faute incombe surtout aux développeurs des applications, je pense. Après tout, c'est Visa/Mastercard/machin qui n'exige pas de canal de communication chiffré, d'authentification mutuelle de la carte et du terminal (les deux parties supportant parfaitement les standards en la matière : certificats, PKI, RSA, AES, etc).

  • # Question con

    Posté par  . Évalué à 4.

    N'est il pas possible de simplement stocker sa carte dans un etui empechant la lecture a distance quand on ne l'utilise pas, et de la sortir de cet étui incapacitant au moment où l'on souhaite s'en servir ?

    • [^] # Re: Question con

      Posté par  (site web personnel) . Évalué à 2.

      S'agissant d'un téléphone, la conséquence serait qu'il ne pourrait plus recevoir ou passer d'appels…

      • [^] # Re: Question con

        Posté par  . Évalué à 1.

        Dans le cas où le smartphone intègre les capacités NFC de lui-même, on peut supposer qu'il laisse la possibilité à l'utilisateur de désactiver cette interface (comme il laisse cette possibilité pour le wifi, la 3G, etc). C'est le cas sous Android.

        Si c'est la carte SIM qui intègre le NFC, effectivement, c'est foutu.

        • [^] # Re: Question con

          Posté par  (site web personnel) . Évalué à 3.

          Oui et on a vu avec le bluetooth que les possesseurs de mobile sont tous conscients des dangers potentiels de laisser le NFC allumé. D'ailleurs je ne les blâme pas, ce sont les concepteurs qui doivent faire en sorte que l'utilisateur n'aie pas à se soucier de la sécurité des nouvelles technos.

          Ce qui m'attriste, c'est qu'encore une fois une nouvelle technologie est poussée à la démocratisation sans prendre en compte sa sécurité, et comme à chaque fois, les experts en sécurité qui pointent déjà depuis pas mal de temps ces problèmes ne seront écoutés que suite aux premiers scandales et fraudes en masses qui feront les titres des journaux.

          Monde de merde…

          PS: Ceci n'est pas un commentaire sur le cyclimse

          • [^] # Re: Question con

            Posté par  . Évalué à 5.

            D'ailleurs je ne les blâme pas, ce sont les concepteurs qui doivent faire en sorte que l'utilisateur n'aie pas à se soucier de la sécurité des nouvelles technos.

            Je suis d'accord mais l'utilisateur a montré qu'il préférait(en général) des technologies avec moins de sécurité car elles nécessitent moins d'effort. Il y a un moment où la sécurité nécessite un effort minimum, comme l'utilisateur ne le veut pas, c'est aussi de sa faute si les technologies actuelle ne sont pas sécurisées.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: Question con

              Posté par  (site web personnel) . Évalué à 2.

              Perso, je ne vois pas quel effort supplémentaire il faut fournir du point de vue utilisateur pour faire fonctionner son Wifi en WPA2 plutôt qu'en Wep par exemple.

              Le soucis c'est que comme à l'époque du Wifi, on cherche à démocratiser le plus vite possible une techno, alors que tous les aspects de sécurité n'ont pas été sérieusement étudiés. On va se retrouver dans le même cas avec le NFC qu'avec le Wifi, avec d'abord des piratages isolés, puis des problèmes de grande ampleur, les gros titres des journaux genre "12 millions d'utilisateurs de NFC ont été piratés dans le monde en 2014, pour un montant estimé à 140 millions de dollards", la création dans l'urgence d'une commission d'experts chargés de créer une nouvelle norme en incluant cette fois de la vraie sécurité, qui rendra ses travaux au bout d'1 an, delai auquel s'ajoutera une inertie d'un an ou deux, due à la durée de vie des appareils fonctionnant avec l'ancienne norme trouée, et donc autant de temps pendant lequel le piratage continue.

              Et dans 5 ans la majorité des appareils utilisera (enfin) la nouvelle norme sécurisée, mais il restera toujours un pourcentage à l'ancienne norme, comme aujourd'hui ont trouve toujours des Wifi en Wep un peu partout.

              • [^] # Re: Question con

                Posté par  . Évalué à 3.

                Perso, je ne vois pas quel effort supplémentaire il faut fournir du point de vue utilisateur pour faire fonctionner son Wifi en WPA2 plutôt qu'en Wep par exemple.

                Sauf que l'utilisateur, il utilise WPS maintenant, c'est plus simple mais bien plus troué que le WEP.

                et donc autant de temps pendant lequel le piratage continue.

                Parce que l'utilisateur préfère le confort de la nouveauté à la sécurité. Si l'absence de sécurité du WEP avait déranger les gens, ils seraient resté au filiaire mais c'est aussi à lui de se bouger le cul pour sa sécurité, s'il s'en fout, je ne vois pas pourquoi les vendeurs se casseraient le cul à faire un effort là dessus

                Et dans 5 ans la majorité des appareils utilisera (enfin) la nouvelle norme sécurisée, mais il restera toujours un pourcentage à l'ancienne norme, comme aujourd'hui ont trouve toujours des Wifi en Wep un peu partout.

                Parce que c'est plus compliqué de changer vers le WPA2 que de garder l'actuel.

                « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                • [^] # Re: Question con

                  Posté par  (site web personnel) . Évalué à 2.

                  On fait tous les deux le même constat, même si tu semble plus désabusé, ce que je comprend.

                  Mais justement, vu que l'utilisateur s'en fout, ce qui est à mon sens inévitable, il est bien plus sage que "ceux-qui-savent" fassent en sorte que la techno soit sécurisée avant de la mettre à dispo du grand public.

                  Les fainéants, ce ne sont pas les utilisateurs, eux s'en foutent de s'assurer si c'est sécurisé, pire ils considèrent que ça l'est puisque ce sont des spécialistes qui l'ont inventé, et qu'en tant qu'utilisateurs ils n'y connaissent rien, ca ne les intéresse pas et c'est tant mieux. Tout comme je fais confiance au constructeur de ma voiture en terme de sécurité (les ABS, ESP, et tous ces trucs dont je connais rien, qui ne m'intéresse pas plus que ça, mais qui font que ma voiture est plus sûre).
                  Alors certes, au début la voiture n'était autant bardé de dispositifs de sécurité, mais ici on parle d'un nouvel usage, rendu possible par une techno inventée ces toutes dernières années, époque où le chiffrement, la crypto, les certificats (bon ça d'accord, on peut mieux faire), les PKI, etc sont des choses qui ont fait leur preuves et qu'il est possible de déployer avec une quasi transparence pour l'utilisateur final.

                  Si on pense à la sécurité dès le départ, qu'il en découle une petite contrainte supplémentaire, mais que de toutes façons le NFC c'est comme ça et pas autrement, les utilisateurs accepteront la petite contrainte supplémentaire, elle fera partie intégrande de l'utilisation du NFC. Si en effet elle est ajoutée après coup, ça sera vu comme une complication chiante et dont on essaiera de se passer si on peut. C'est humain, c'est comme ça, et il est plus facile de se forcer à faire une techno sécurisée que d'essayer de changer les habitudes de millions d'utilisateurs après coup.

                  Et je n'accepterai pas qu'au premier scandale touchant le NFC on vienne dire que "ceux qui se sont fait pirater, sont cons, ils avaient qu'à penser à couper la fonction NFC qu'en ils ne s'en servaient pas !".

                  • [^] # Re: Question con

                    Posté par  . Évalué à 3.

                    il est bien plus sage que "ceux-qui-savent" fassent en sorte que la techno soit sécurisée avant de la mettre à dispo du grand public.

                    Ce n'est pas "ceux-qui-savent" qui mettent à disposition du grand publique mais "ceux-qui-décident"

                    pire ils considèrent que ça l'est puisque ce sont des spécialistes qui l'ont inventé, et qu'en tant qu'utilisateurs ils n'y connaissent rien, ca ne les intéresse pas et c'est tant mieux

                    Mais rien ne garanti que ceux qui ont fait le produit s'y connaissent en sécurité.

                    out comme je fais confiance au constructeur de ma voiture en terme de sécurité

                    Justement, je ne lui fait pas confiance mais je sais qu'il y a des normes à respecter qui sont vérifées par des autorités indépendantes et c'est ça qui me donne confiance.

                    Si en effet elle est ajoutée après coup, ça sera vu comme une complication chiante et dont on essaiera de se passer si on peut.

                    De toute façon, la version non-sécurisée arrivera parce qu'elle sera moins cher/plus facile. Regarde ce qui s'est passé avec le WPA, on l'a affaibli avec le WPS pour simplifier le problème.

                    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Question con

        Posté par  . Évalué à 2.

        J'ai bien fait de parler de "question con" ^

        Je pensais plus a une carte. C'est ce dont il est question dans l'article pointé par le journal : il ne parle de telephone que pour lire la carte.

        • [^] # Re: Question con

          Posté par  . Évalué à 1.

          Ben dans le cas d'une simple carte, effectivement, un étui blindé (par exemple avec de la feuille d'aluminium) suffit. La technique est d'ailleurs utilisée sur les passeports biométriques américains, si je ne m'abuse : il y a un blindage dans la couverture pour ne pouvoir lire la puce que si le passeport est ouvert.

          • [^] # Re: Question con

            Posté par  . Évalué à 6.

            J'ai renouvelé mon passeport récemment et j'ai eu le "bonheur" d'avoir un passeport biométrique.
            Je viens de tester la lecture de la puce biométrique avec le lecteur NFC de mon téléphone et j'arrive à lire les informations passeport fermé. Par contre, la lecture ne se déclenche qu'à moins d'un centimètre.

            J'ai accès aux informations de base : nom, date de naissance, sexe, nationalité, photo mais pas aux empreintes digitales.

            • [^] # Re: Question con

              Posté par  . Évalué à 2.

              Si je me souviens bien, c'est un choix de la norme que de laisser les informations déjà présentes sur le papier en clair.
              Seules les nouvelles données (empreintes, iris, etc selon les pays) peuvent être chiffrées et soumises à accès authentifiées, etc. Cette partie-là est laissée à la discrétion des pays émetteurs. Généralement, pour des raisons de mauvaise organisation, c'est mal fait. Par exemple, pour authentifier les passeports, il faut faire la vérification en récupérant le certificat du gouvernement. Comme les aéroports ont tendance à être internationaux, ça signifie que les machines de contrôle accèdent au dépôt commun des gouvernements, auquel peu d'entre eux participent, donc dans la pratique, le contrôle ne se fait pas (ou peu). C'est comme ça qu'on avait vu un passeport valide d'Elvis Presley à Amsterdam, je crois.

            • [^] # Re: Question con

              Posté par  (site web personnel) . Évalué à 2.

              L'antenne est dans la couverture, donc c'est normal que ça marche parfaitement fermé ou ouvert.

              Les infos dites sensibles ne sont accessibles que via la génération d'une clé de session avec le passeport, clé de session qui dépend des informations écrites sur ton passeport (les caractères bizarres en bas de la page, ça s'appelle la MRZ). La logique étant que seul quelqu'un qui a physiquement ton passeport en main est autoriser à lire les informations sensibles. Il ne me semble pas qu'elles soient plus protégées que ça.

              Les références aux certificats dont parle boarf concernent l'authentification du passeport lui-même. Donc, sans les certificats des différents pays, on peut pas prouver que le passeport est authentique mais on peut le lire.

              • [^] # Re: Question con

                Posté par  . Évalué à 2.

                Merci pour l'information, je suis complètement béotien dans le domaine du NFC.
                J'ai effectivement dû entrer quelques informations (numéro de passeport, date de naissance, date d'expiration) dans l'application de lecture NFC avant qu'elle lise les données de mon passeport.

                Je réagissais au fait que les passeports américains ne sont pas lisibles lorsqu'ils sont fermés.
                Si c'est le cas, pourquoi n'est-ce pas pareil pour les passeports français ?

                J'ai par ailleurs vérifié qu'il devient illisible lorsqu'il est recouvert d'une feuille d'aluminium. Il ne me reste plus qu'à glisser une feuille d'aluminium dans la doublure de mon portefeuille.

                • [^] # Re: Question con

                  Posté par  . Évalué à 3.

                  Si c'est le cas, pourquoi n'est-ce pas pareil pour les passeports français ?

                  Parce que le gouvernement français n'a pas juger que ça en valait la peine?

                  Il ne me reste plus qu'à glisser une feuille d'aluminium dans la doublure de mon portefeuille.

                  Chiant pour les badges d'accès et autres puces NFC/RFID.

                  « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: Question con

      Posté par  . Évalué à 3. Dernière modification le 05 avril 2012 à 19:25.

      Si, certainement.
      On pourrait imaginer nommer cet étui "portefeuille".
      De plus, pour améliorer la sécurité on pourrait dire qu'il faut entrer code secret sur le terminal de paiement et on appellerait ça "carte bancaire".

      Plus sérieusement, il y a quoi comme avantage à effectuer ses paiements par technologie NFC ?

      • [^] # Re: Question con

        Posté par  . Évalué à 3.

        La rapidité du payement. Un peu comme payer en monnaie mais avec le compte juste directement. Ça n'a du sens que pour un petit payement, genre acheter son pain, pas quand tu fais 45 minutes de course.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Question con

          Posté par  (site web personnel) . Évalué à 7.

          La rapidité du payement.

          Mouais. C'est un peu comme les DRM : defective by design (ben oui, comment payer à distance sans payer le voisin, vu que c'est à distance?)

          Ca aurait été plus simple de continuer à insérer la carte, mais sans code PIN pour les paiement de moins de x Euros… Sécurité et rapidité. Mais c'était trop simple sans doute, et donc on fait un truc qui va se faire pirater en permanence à la place.

          Sans moi! (et vous savez que j'adore tout ce qui est "moderne" d'habitude… C'est dire :) )

          • [^] # Re: Question con

            Posté par  . Évalué à 4.

            Ca aurait été plus simple de continuer à insérer la carte, mais sans code PIN pour les paiement de moins de x Euros… Sécurité et rapidité. Mais c'était trop simple sans doute, et donc on fait un truc qui va se faire pirater en permanence à la place.

            L'intérêt dans ce cas est aussi de permettre les payements entre amis facilement (on en parlait lors de l'apparition du truc, je ne sais pas si c'est possible actuellement). Parce que c'est quand même plus simple que de se ballader avec un lecteur de carte.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Question con

            Posté par  . Évalué à 4.

            Ca aurait été plus simple de continuer à insérer la carte, mais sans code PIN pour les paiement de moins de x Euros…

            Ça se fait déjà avec Moneo ou lorsque tu payes les péages d'autoroutes avec ta carte bancaire.

            • [^] # Re: Question con

              Posté par  . Évalué à 5.

              l'arnaque, c'est que monéo coutait aux clients et cher aux commercants.
              Bref, de la merde.

            • [^] # Re: Question con

              Posté par  (site web personnel) . Évalué à 3.

              Ça se fait déjà avec Moneo

              Qui a un coût exorbitant si j'ai bien suivi. Donc jamais déployé à grande échelle.
              Et l'idée n'est pas de rajouter des procédures complexes (aller recharger).

              ou lorsque tu payes les péages d'autoroutes avec ta carte bancaire.

              Mais ce "droit" est bien trop rare (à part les péages, il y a?)

              • [^] # Re: Question con

                Posté par  . Évalué à 2.

                Mais la technique existe et elle marche, le reste ne sont que des choix politiques et commerciaux.

        • [^] # Re: Question con

          Posté par  . Évalué à 3.

          Par contre si je comprends bien, alors qu'en temps normal si tu perds / on te vole ta carte, tu fais opposition et t'as pas trop de mauvaise surprise, là c'est rapidement open bar…
          Du coup je préfère quand même largement perdre 15s à insérer ma carte et entrer mon code.

          • [^] # Re: Question con

            Posté par  (site web personnel) . Évalué à 5.

            Attention, je parle des cartes de paiement sans contact, pas du NFC. Il faut voir que c'est une technologie qui a été développée aux US où les attentes des utilisateurs en terme de sécurité ne sont pas les mêmes.

            Aux US, les paiement se font principalement par carte magnétique, hyper facile à frauder. Le passage à une carte sans-contact apporte donc un gain significatif en sécurité car d'une part plus difficile à contrefaire, et d'autre part, sécurisée.

            Normalement, ladite carte génère un cryptogramme qui doit être vérifié en ligne par la banque avant d’accepter le paiement.

            Le paiement est sans code PIN, pour des montants de moins de 20 $. Et les américains adorent le côté très rapide et sans signature. L'absence de code PIN ne les choque pas du tout.

            Si jamais le terminal n'est pas en ligne, la sécurité est la même que celle d'une carte magnétique. Mais aux US, la majorité des terminaux sont en ligne, pour lutter justement contre la fraude à la carte magnétique.

            Lors de l'export de la téchno vers l'Europe, ils sont passés à l'EMV sans contact, c'est à dire les normes de paiements sécurisées qu'on a en Europe, avec de l'offline, des seuls de vérifications, etc etc en gardant la capacité sans-contact. Voire code PIN aussi. Pour l’instant, c'est pas un grand succès mais des enseignes comme MacDo ou Carrefour y réfléchissent pour une carte "privée".

            • [^] # Re: Question con

              Posté par  . Évalué à 3.

              Accessoirement, peut-être faut-il rappeler que le coût des fraudes à la carte bancaire est intégralement supporté par les banques et leurs assurances (il reste tout de même la perte de temps et l'inquiétude pour le détenteur de la carte), notamment qu'une transaction peut être contestée sauf dans le cas où le code PIN a été utilisé.

  • # Ayé !

    Posté par  (site web personnel) . Évalué à 0.

    C'est fait… Renaud Lifchitz a fait la démonstration cet après midi au Hackito Ergo Sum avec un simple smartphone Android, c'est édifiant.
    Ce qui fait vraiment peur c'est qu'il n'a même pas eu besoin de faire du reverse engineering, tout est vraiment stocké en clair sur la carte.
    Ya plus qu'a s'acheter une portefeuille blindé : http://www.thinkgeek.com/gadgets/security/8cdd/?srp=9

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.