Sécurité des cartes NFC : la CNIL ouvre une enquête

Sécurité : Suite à la publication de failles critiques de sécurité, la Commission nationale informatique et libertés a décidé de se pencher sur la question.

Par Olivier Chicheportiche

  • 1 min

nfc_97x72

Le NFC est actuellement sur toutes les bouches. Qu’il s’agisse de paiement mobile, de services dédiés ou encore de cartes de retrait, les projets se multiplient partout dans le monde et notamment en France avec Cityzi par exemple.

Si l’écosystème se met en place, tous les problèmes de sécurité ne semblent pas avoir été résolus. En avril dernier, Renaud Lifchitz, ingénieur sécurité chez BT, s’est exprimé sur la question lors de la conférence Hackito Ergo Sum et a dénoncé le manque de sécurité de la technologie.

Une faille permet facilement d’intercepter des données personnelles stockées sur un support NFC (comme une carte). La faute à l’absence de vraies protections.

Investigations techniques

Selon le spécialiste, il est possible de concevoir un lecteur capable de lire à distance (quelques mètres) ces données. Il peut s’agir d’un simple téléphone équipé pour et doté d’une antenne spéciale.

Concrètement, il suffit de se trouver près d’une personne utilisant un terminal NFC ou ayant dans sa poche une carte NFC pour aspirer ses données avec un lecteur dédié sans contact. Il serait même possible de réaliser des copies de carte.

La faille a été communiquée aux autorités compétentes, notamment la CNIL en France. Cette dernière annonce aujourd’hui l’ouverture d’une enquête. « Les cartes de paiement sans contact actuellement distribuées par certains établissements bancaires présenteraient un risque au regard de la sécurité des données personnelles qu’elles contiennent » peut-on lire dans un communiqué.

« La CNIL réalise donc actuellement des investigations techniques afin d’identifier d’éventuels problèmes de sécurité et d’évaluer leurs conséquences en termes d’impact sur la vie privée des porteurs de carte. La loi Informatique et libertés prévoit que les organismes mettant en œuvre des traitements informatiques doivent assurer la sécurité des données qu’ils traitent afin notamment d’empêcher que des tiers non autorisés n’y aient accès », indique la Commission.

Connexion

Vous n’avez pas encore de compte ?

AUTOUR DE ZDNET
SERVICES
À PROPOS