Plus de 31,5 millions de cartes de paiement sans contact circulent déjà en France. Pourtant, les chercheurs en cryptographie mettent en garde contre un système de paiement qui comporte de graves lacunes de sécurité.
Research and publish the best content.
Get Started for FREE
Sign up with Facebook Sign up with X
I don't have a Facebook or a X account
Already have an account: Login
Cybersécurité - Innovations digitales et numériques
38.5K views |
+0 today
Vous trouverez dans ce thème des actualités, en France et dans le monde, sur les innovations digitales et numériques, en passant par la cybersécurité ou confiance numérique, l'informatique en nuage, les mégadonnées ainsi que le management des services et de projet
Curated by
Stéphane NEREAU
 Your new post is loading...
Your new post is loading...
Scoop.it!
Des chercheurs britanniques ont mis le doigt sur une vulnérabilité dans le protocole de sécurité des cartes bancaires qui permet de siphonner des comptes à grande échelle, ni vu ni connu.
Stéphane NEREAU's insight:
Il serait intéressant de savoir si cette attaque fonctionne également sur les cartes Visa dans d’autres pays, comme la France par exemple. Malheureusement, les chercheurs se sont limités aux cartes bancaires britanniques. Il faut souligner, par ailleurs, que les cartes Mastercard ne sont pas vulnérables à cette attaque, car elles n’autorisent pas le mode offline pour les transactions en monnaie étrangère. Preuve qu’il existe donc des solutions techniques à cette faille. 
Scoop.it!
Stéphane NEREAU's insight:
En effet, l’application Apple Pay ne sauvegarde pas le numéro de la carte bancaire de l’utilisateur sur le téléphone, mais un « numéro de compte lié au terminal » (Device Account Number). Ce dernier est stocké de manière chiffrée dans un élément matériel du téléphone appelée « Secure Element ». Ce numéro est utilisé pour créer les cartes virtuelles à usage unique. Cette façon de faire à plusieurs avantages. Le vendeur n’a connaissance ni du véritable numéro de carte bancaire, ni même du nom de son détenteur. En cas de perte ou de vol du terminal, il n’y a pas lieu de faire bloquer la carte : il suffit de suspendre le Device Account Number, et le tour est joué. Enfin, le code PIN ne peut jamais être divulgué non plus, car il n’est jamais utilisé : en lieu et place, Apple propose l’authentification biométrique par Touch ID.
Scoop.it!
's comment July 12, 2014 3:45 AM
Le souci c'est que la carte est la propriété de la banque... préférer un étui http://www.stop-rfid.fr
Scoop.it!
Parmi les 34 plans de la « Nouvelle France industrielle », figure un volet relatif aux services permettant le paiement sans contact. Le gouvernement entend mettre en avant des outils utilisant la technologie pour le quotidien avec comme objectif que la totalité des cartes et terminaux puissent être en mesure de réaliser des paiements sans contact.
Stéphane NEREAU's insight:
A ce jour, le sans contact est dans un entre-deux. Les banques proposent désormais régulièrement à leurs clients d'utiliser des cartes NFC et certains dispositifs, notamment dans les transports, ont montré leur efficacité. De leur côté, des géants comme Apple (avec iBeacon) tentent de tracer leur propre route. Malgré tout, certains usages, comme le paiement sans contact ne sont pas encore totalement développés sur le territoire, notamment lorsqu'il s'agit de régler un achat par le biais d'un smartphone.
Scoop.it!
Cet acronyme correspond à la communication en champ proche, une technologie clé qui permet des transactions par taper-payer ou sans contact sécurisées, à l’ère de l’économie mobile. Si votre entreprise s’appuie sur une forme ou une autre d’échange financier ou d’information entre appareils mobiles, voici des informations qui ne manqueront pas de vous intéresser.
Stéphane NEREAU's insight:
Google a inclus le soutien NFC dans toutes les versions d’Android depuis la version 4.0 (Ice Cream Sandwich) et n’a cessé de mettre la technologie à jour, à chaque nouvelle version. La plupart des téléphones intelligents Android, dont le Samsung Galaxy S5 et le Google Nexus 5, ainsi que bon nombre de tablettes Android sont maintenant dotés de puces NFC. La plus récente version d’Android, soit KitKat, ou version 4.4, permet à tous les téléphones dotés de la NFC d’utiliser l’application Google Wallet, qui fait office de carte intelligente taper-payer. Le système d’exploitation mis à niveau profite également aux marchands, car il soutient un mode lecteur qui permet aux appareils en magasin de lire les cartes intelligentes compatibles.
Scoop.it!
Pour sécuriser nos échanges sur internet, les géants du web comme Google, Netflix, Microsoft et Paypal se sont unis pour standardiser l’authentification des utilisateurs, au lieu d’utiliser le système existant mis en place par les acteurs du monde de la finance.
Stéphane NEREAU's insight:
Avec l’objectif affiché de sécuriser tous les services délivrés par internet pour les utilisateurs, les acteurs de tous ces domaines, dont Google, Microsoft, Netflix ou encore Paypal, se sont alliés au sein de Fido, dont le but affiché est de standardiser l’authentification des utilisateurs afin de mettre fin à la fraude et aux usurpations d’identité. Ce système se baserait sur un périphérique, relié par exemple par USB ou par NFC, auquel le navigateur pourrait accéder pour authentifier l’utilisateur, qui n’aurait alors qu’à rentrer un code PIN. Un tel token pourrait aller d’une simple application mobile à, de préférence, un token matériel sécurisé, comme une application dans un Trusted Execution Environment ou un Secure Element. Cette utilisation pourrait se généraliser facilement aux services de paiement en ligne ou de vidéo sur demande, d’où l’implication des géants de ces secteurs.
Scoop.it!
En France, les territoires les plus avancés dans l’offre de services mobiles sans contact ont largement dépassé le stade de l’expérimentation.
Stéphane NEREAU's insight:
Le vaste potentiel d’usages de la technologie NFC, des plus simples aux plus complexes, est porteur d’un vaste champ de recherche et de développement industriel. Un champ désormais incontournable, ne serait-ce que pour concrétiser le « choc de simplification », avancé par les pouvoirs publics, en France, et tant attendu par les acteurs économiques, académiques, administratifs et financiers. Un champ parcouru par une exigence de la société : son besoin de commodité et de sécurité, dans la mobilité.
|
Scoop.it!
Ouvrir sa porte d’un simple geste de la main, c’est le rêve de tous ceux qui se pressent aux "implant parties". Des rassemblements où l’on se fait insérer des puces électroniques sous la peau. Le premier du genre se tient ce soir à Paris.
Stéphane NEREAU's insight:
La pose de l'implant est simplissime. Vous posez votre main sur un champ opératoire stérile et une personne habilitée vous désinfecte le dos de la main. Après une légère anesthésie locale, elle vous glisse la puce sous la peau grâce à une seringue hypodhermique. D'après Hannes, on ressent une légère douleur quelques secondes seulement, avant d'oublier totalement la présence de l'appareil.
Didier Caradec CEH/DPO/RSSI's curator insight,
July 9, 2015 12:03 PM
Encore une utilisation non maîtrisée mais mise quand même sur le marché sans aucune réponse concernant l'éthique, la sécurité, l'évolution, ...
Scoop.it!
Aujourd'hui, la technologie sans contact NFC / RFID est omniprésente. Or, concernant les cartes bancaires, il a été démontré qu'il existe une faille de sécurité, permettant d'accéder à distance à vos données personnelles [1].
Dans les transports en commun, les endroits publics, gares, aéroports, nous sommes souvent nombreux dans un volume restreint. Par conséquent, un pirate informatique muni d'un lecteur ou mobile adéquat peut facilement faire sa moisson de données. Il n’y a aucun moyen de savoir si vous avez été piraté ou non. Il est donc nécessaire de se protéger.
Partant de ce constat, un Alsacien a créé début 2013 le site internet http://www.stop-rfid.fr aidé par deux partenaires: - Bong fabricant suédois de la protection Scansafe® Tyvek® [2], - Maison Petzold-Kaps graveur réputé depuis 1872 [3], dans le but de proposer quelques solutions simples pour protéger les cartes à risque. Les protections stop-rfid.fr sont efficaces et utiles sur le plan physique : produit indéchirable, résistant à l'eau, antibactérien, empêchant le passage des ondes [4].
L'étui carte bancaire protège autant vos cartes que vos badges d’alarme et d’accès à l’entreprise. Il est disponible également en modèle passeport biométrique.
La protection billet stop-rfid.fr se glisse à l'arrière du portefeuille [5], sans avoir besoin de le changer ! Les portes cartes et portefeuilles en cuir viennent compléter la gamme StopRFiD.
Finalement pour les entreprises qui recherchent un vecteur de promotion, original et utile, c’est un support publicitaire idéal...
Références: [1] http://fr.wikipedia.org/wiki/Paiement_sans_contact#Risques_.C3.A9ventuels [2] Scansafe® Tyvek® est composé d’un textile non-tissé de fibres de polyéthylène, une feuille métallique et une couche en papier. http://www.bong.fr [3] http://www.maison-petzold-kaps.fr à Strasbourg, France [4] fréquence 13.56Mhz, protection certifiée TÜV [5] http://www.stop-rfid.fr/kit-portefeuille-stop-rfid.html
Scoop.it!
Le smartphone joue un rôle de plus en plus central dans le parcours d’achat : la SNCF l’a bien compris et a récemment mis en place la validation du billet de train par QR code sur mobile. De là faire du mobile un terminal de paiement indispensable? Selon Pierre Métivier, délégué général du forum services mobiles sans contact, le NFC (puce intégrée dans un mobile ou dans une carte) va permettre de simplifier l’achat et de faire du mobile un moyen de paiement au même titre que la carte bancaire et le chèque. Via GCX Conseil
Scoop.it!
Stéphane NEREAU's insight:
Pourtant, dès 2012, l’expert en sécurité Renaud Lifchitz avait découvert une faille de sécurité, permettant notamment d’accéder à une carte NFC et son contenu à distance. Et oui, le NFC c’est comme le WiFi ou le Bluetooth, c’est avant tout des informations qui circulent dans les airs ! Et donc potentiellement à la merci de tous. Depuis 2012, les techniques d’interception de communications NFC ont progressé : alors qu’à l’époque il fallait se tenir à 5 centimètres de la carte ciblée, aujourd’hui un matériel valant à peine 300 euros permet de voler des informations bancaires (numéro de la carte et date d’expiration) à plusieurs mètres. Certaines applications mobiles sont même spécialisées dans cette activité.
's comment July 11, 2014 12:10 PM
ça ne laisse aucune trace, aucun recours. Je crois que c'est estimé à 1.5% des fraudes. C'est l'antenne qui fait la portée 300 euros pour 40cm (10x+) + un excellent lecteur 300 euros max
Scoop.it!
Les villes “intelligentes” reposant sur un recours massif au numérique, la sécurité des données en est donc un enjeu central. Bon sens et anticipation sont deux mots-clés pour assurer une sécurité optimale et maitriser le budget.
Scoop.it!
Alors que 2014 est déjà bien entamée, voici un aperçu des principales tendances qui, selon moi, auront un grand impact sur le marché de l’identification sécurisée cette année.
Stéphane NEREAU's insight:
Contrôle d’accès logique et physique, émissions sécurisées, protection des identités, gestion des visiteurs, suivi et sécurisation des ressources, HID Global, société spécialisée dans le développement de solutions d’identification sécurisées, a présenté le 28 janvier 2014 ses prévisions pour les principales tendances de 2014. Selon le directeur de la technologie, Selva Selvaratnam, à l’horizon 2014, le secteur va délaisser de plus en plus les architectures de contrôle d’accès statiques et propriétaires au profit de solutions plus sécurisées mais plus flexibles. L’authentification forte va par ailleurs continuer à prendre de l’importance face à l’évolution rapide des menaces informatiques et va également s’appliquer au contrôle d’accès physique via la biométrie et la reconnaissance gestuelle. Enfin, l’année sera marquée par l’avènement des services d’authentification sans contact NFC (Near Field Communication).
Scoop.it!
âché que votre banque vous impose une puce NFC (paiement sans contact) sur votre carte bancaire ? Voici une technique de bourrin qui devrait vous en débarrasser ! Avec cependant le risque d'endommager la carte…
Stéphane NEREAU's insight:
lors si votre banque vous impose une carte NFC, ou si vous ne connaissiez pas les risques lorsque votre conseiller financier vous a proposé cette "carte bancaire super-high-tech", vous avez trois solutions : Insister auprès de votre établissement bancaire pour obtenir une carte sans puce NFC.Ranger systématiquement votre carte dans un étui spécialisé, qui bloque l'émission des ondes.Neutraliser vous-même la puce NFC intégrée.
|
