.[Ec4] Eco numérique, cyberespace

Le paiement sans contact n'est pas sans risque
par Simon Castéran
CNRS (Le journal) - 03 jul 2015
https://lejournal.cnrs.fr/articles/le-paiement-sans-contact-nest-pas-sans-risque

Plus de 31,5 millions de cartes de paiement sans contact circulent déjà en France |En juin 2016, ce nombre s'élevait à 41,4 millions, soit plus de 60 % de la totalité des cartes de bancaires (source AFSCM)]. Pourtant, les chercheurs en cryptographie mettent en garde contre un système de paiement qui comporte de graves lacunes de sécurité.

Depuis son invention en 1974, l’histoire de la carte bancaire à puce a toujours été celle d’une lutte permanente contre les tentatives de piratage. Code personnel, cryptogramme au dos de la carte, chiffrement des informations et des transactions, confirmation des achats effectués sur Internet par un code envoyé par SMS… En 40 ans, les moyens de prouver son identité se sont multipliés. Or, et c’est un paradoxe, le GIE Cartes bancaires, qui fédère les principales banques françaises afin de définir les normes de sécurité des cartes à puce, s’efforce désormais de diffuser un nouveau système de paiement… qui ne nécessite plus d’authentification: c’est le paiement sans contact.

Grâce à ce nouveau type de transaction, le client d’un commerce peut désormais régler ses achats sans avoir à insérer sa carte dans un terminal ni à s’identifier en tapant son code secret. Il suffit d’approcher sa carte bancaire à quelques centimètres d’un lecteur, et en quelques millisecondes, la transaction est faite. Les usagers, les associations de consommateurs et même la Commission nationale informatique et libertés (CNIL) ainsi que des chercheurs spécialistes en sécurité informatique s’inquiètent: et si ces cartes à puce de nouvelle génération, dites cartes NFC, étaient moins sûres que les anciennes ?

Le paiement sans contact, comment ça marche ? Comme son nom l’indique, la technologie NFC (pour Near Field Communication, communication en champ proche) ne fonctionne qu’à une faible distance, inférieure à 10 cm. Contrairement à la RFID (Radio Frequency Identification, identification par radiofréquence) dont elle découle directement et qui permet, elle, d’interagir avec des systèmes sécurisés à plusieurs mètres de distance. Néanmoins, le principe reste le même: un lecteur (reader) communique par radio, sur la longueur d’ondes de 13,56 MHz, avec la puce (tag) contenue dans une carte bancaire via une minuscule antenne.

Les cartes de paiement ne sont d’ailleurs pas les seules à bénéficier des puces NFC: on les retrouve aussi dans les titres de transport, à l’image du pass Navigo de la RATP, ainsi que dans les cartes d’accès, les clés de voiture, les passeports et les nouveaux permis de conduire, sans oublier les tablettes et les téléphones portables. Dans ce dernier cas, l’appareil multimédia peut être utilisé autant de manière passive, comme s’il était une puce, que comme lecteur, dès lors qu’il est équipé d’une option « émulation de carte NFC »: avec un iPhone 6 ou un Nexus Android, il est ainsi possible de lire un tag NFC caché dans une étiquette, sous le tableau d’un musée, pour accéder à des informations supplémentaires sur l’œuvre ou l’artiste. Et même d’échanger des informations avec un autre téléphone équipé de la technologie NFC, par exemple pour virer de l’argent à un ami… Sans sortir son portefeuille.

Une technologie insuffisamment sécurisée - Mais, si pratique que soit ce nouveau mode de transaction, peut-on vraiment lui faire confiance ? Au sein de l’Institut de recherche en informatique et systèmes aléatoires (Irisa), à Rennes, le spécialiste de la cryptographie Pierre-Alain Fouque se méfie du paiement sans contact, au point qu’il a demandé à sa banque de désactiver la puce NFC sur sa propre carte bancaire. La raison de son inquiétude ? « Actuellement, aucun contrôle n’est présent » sur ce moyen de paiement, explique le chercheur, et comme « on ne demande rien à l’utilisateur, rien n’empêche le vendeur de faire plusieurs retraits sur la carte ». Car, contrairement à un règlement effectué à partir d’un téléphone portable, pour lequel « on demande confirmation, ce n’est pas le cas avec la carte bancaire ». Évidemment, ce ne serait pas très discret de la part d’un commerçant, dont on aurait vite fait de retrouver la trace au prochain relevé de banque…

Pierre-Alain Fouque reconnaît que « des mesures ont été prises pour éviter que quelqu’un vide votre compte bancaire, en limitant une transaction à 20 €, et de telle manière qu’on ne puisse pas faire plus de 3 ou 4 paiements sans contact par jour ». En revanche, « il n’y a pas de réelles mesures de sécurité à l’intérieur des cartes bancaires pour éviter ce type d’attaque ». Pire, poursuit Pierre-Alain Fouque « si vous vous promenez dans la rue, avec votre carte NFC dans votre poche ou votre sac, il est tout à fait possible pour un hacker passant près de vous d’intercepter vos données » grâce à un faux lecteur, comme un téléphone portable ou un ordinateur, « pour les envoyer à un complice qui s’en sert au même moment pour régler un achat » ou déverrouiller la portière de votre voiture.
.
C’est le principe de l’attaque du "man in the middle", ou "attaque par relais": la carte NFC et le terminal de paiement, pensant dialoguer l’un avec l’autre, communiquent en fait avec un troisième intervenant, qui utilise les informations envoyées par la carte pour faire la preuve de son identité auprès du lecteur cible. « Le seul moyen de prévenir une telle attaque est de ne pas avoir assez d’argent sur sa carte bancaire ! », ironise Cristina Onete, chercheuse en post-doctorat à l’Irisa.

Le distance-bounding protocol, remède miracle contre le vol ? La bataille entre hackers et spécialistes de la cybersécurité est-elle perdue d’avance ? Il existe en fait une mesure de sécurité, le Distance-Bounding Protocol (DBP). Grâce à ce protocole délimiteur de distance, un lecteur sans contact qui chronomètre le temps qu’il lui faut pour dialoguer avec une puce NFC, peut théoriquement s’assurer que la personne qui interagit avec lui se trouve bien à quelques centimètres. Une telle vérification permet de bloquer un usurpateur qui, à quelques mètres de là, se ferait passer pour la puce légitime. « Pour l’instant, à ma connaissance, une seule carte, la Mifare Plus du fabricant NXP, offre ce genre de protection, explique Cristina Onete. Dans notre équipe Sécurité et cryptographie embarquées, à l’Irisa, nous faisons des tests pour savoir si le DBP résiste bien aux attaques par relais. Je ne peux pas encore donner de résultats officiels, mais ce dont on s’aperçoit, c’est qu’il y a un écart important entre ce que décrit la théorie dans la littérature scientifique du DBP et les contraintes en pratique. »

En effet, « la transmission des informations entre la carte NFC et le lecteur se fait selon un standard qui n’est pas compatible avec le temps de transmission exigé pour le DBP », explique la chercheuse néerlandaise. Et pour cause : pour vérifier si la puce se situe bien à proximité immédiate du lecteur, tous deux doivent échanger une information de manière très rapide, théoriquement sous la forme d’un seul bit (0 ou 1). Or le standard de communication ne permet de transmettre que plusieurs octets, soit 8 bits à chaque fois. De ce fait, « le temps de transmission est plus long, et comprend un plus grand risque d’erreur. Alors certes, cela reste très rapide, quelques millisecondes, mais c’est déjà trop pour pouvoir déterminer si vous êtes à côté du terminal ou bien en Chine !, note Cristina Onete. Les expérimentations que nous menons semblent toutefois montrer que, dans la pratique, les échanges d’octets peuvent dans certains cas fonctionner ». Aussi, pour Pierre-Alain Fouque et Cristina Onete, « il est très encourageant pour la sécurité que la carte Mifare Plus implante ces contre-mesures. De ce point de vue, c’est la seule carte qui évite partiellement ces attaques. Pourtant, il reste encore du travail à faire pour mieux comprendre et augmenter la sécurité pratique contre les attaques par relais ».

Alors, que faire ? Cristina Onete avoue « limiter ses paiements électroniques à ceux qui prévoient un ou deux moyens d’authentification, par exemple le code de sécurité de ma carte et un code de confirmation envoyé par la banque sur mon téléphone portable ». Pourtant, souligne-t-elle, « la technologie sans contact porte beaucoup de promesses: je suis absolument certaine que, dans le futur, on aura des paiements sécurisés, même sans contact, mais avant, on doit augmenter la sécurité avant d’augmenter ses fonctionnalités ». Car aujourd’hui, la tendance « à pouvoir dépenser son argent de manière plus libre, plus confortable, encourage les fabricants de cartes à ignorer les aspects de sécurité et de vie privée pour offrir plus d’options que leurs concurrents ».

Le paiement par mobile, la nouvelle arme des terroristes ?
par Fabien Piliu
La Tribune - 08 dec 2016
http://www.latribune.fr/economie/france/le-paiement-par-mobile-la-nouvelle-arme-des-terroristes-622381.html

Avec la montée du risque terroriste et les bouleversements technologiques, l'activité de la cellule de "Traitement du renseignement et action contre les circuits financiers clandestins", plus connue sous le nom de Tracfin grimpe en flèche. En 2015, suivant les mêmes tendances qu'en 2014, la cellule anti-blanchiment de Bercy a reçu 45.266 informations contre 38.419 un an plus tôt, ce qui représente une hausse de 18 % selon le rapport annuel sur les "Tendances et analyse des risques de blanchiment de capitaux et de financement du terrorisme" dévoilé ce jeudi. (...)

Un point précis, et relativement nouveau, inquiète la cellule dirigée par Bruno Dalles: le paiement par mobile. Déjà, dans un rapport publié en juin 2013 et consacré aux risques présentés par les nouveaux modes de paiement, le GAFI estimait que ce nouveau type de paiements devait faire "l'objet d'une attention particulière dans le cadre de l'approche par les risques en termes de blanchiment de capitaux et de financement du terrorisme". C'est aujourd'hui d'autant plus vrai que le paiement mobile se développe très rapidement. En 2015, le paiement mobile était disponible dans 93 pays du monde et les opérateurs de télécommunications géraient en moyenne 33 millions de transactions par jour pour 411 millions de comptes d'utilisateurs, soit une augmentation de 31% par rapport à 2014.

A noter, le terme de "paiement mobile" recouvre plusieurs pratiques. Il s'agit du paiement mobile adossé à une carte bancaire, c'est-à-dire le paiement sans contact dans les commerces, les paiements sur Internet auprès d'e-commerçants, débités sur un compte bancaire, les achats sur Internet directement imputés sur la facture télécom du client et enfin le cash transfer de mobile à mobile, national ou international, qui implique un point de vente physique où le client dépose une somme en espèces contre remise d'un code adressé par SMS au bénéficiaire. Le bénéficiaire, muni du code, peut retirer les espèces dans un autre point de vente.

C'est en particulier le développement du cash transfer qui inquiète Tracfin, une méthode de paiement qui a connu un développement rapide en Afrique au cours des cinq dernières années en raison de la faiblesse du taux de bancarisation des économies. "Les opérateurs télécom proposent des services financiers élémentaires et à faible coût qui correspondent aux besoins des consommateurs", précise le rapport de Tracfin qui cite par exemple la transmission de fonds mais aussi le paiement de biens et de services. "Les services de cash transfer par téléphone mobile apparaissent aujourd'hui en France, ciblant en priorité les populations issues de la diaspora africaine qui désirent envoyer des fonds vers leur pays d'origine. Si les services proposés se limitent à ce jour aux flux de la France vers certains pays d'Afrique, il n'y a aucun obstacle, ni juridique ni technique, à ce que les flux puissent être ouverts à l'avenir de l'étranger vers la France, d'autant plus avec l'arrivée probable de nouveaux opérateurs", poursuit Tracfin, qui s'en inquiète.

Comment s'effectuent ces services de transfert d'espèces par téléphone mobile. Comme l'explique Tracfin, ils reposent sur une infrastructure, dans le pays expéditeur comme dans le pays destinataire, composée d'un Prestataire de Services de Paiement (PSP), partenaire, voire filiale, d'un opérateur télécom, d'un réseau d'agents distributeurs gérant des points de vente physiques, chargés de collecter ou remettre les espèces. "Les agents peuvent être des vendeurs de produits télécoms, des chaînes de distribution et commerçants divers, voire des kiosques dédiés à l'activité de transactions en espèces. Au regard du code monétaire et financier, ce service s'analyse juridiquement comme un virement en monnaie scripturale, initié par le PSP du pays de l'expéditeur, vers le PSP du pays du bénéficiaire. Dans ce cas, les risques de blanchiment des capitaux et de financement du terrorisme (LCB/FT) s'apparentent à ceux des services de transmission de fonds. Le dispositif LCB/FT s'impose aux PSP proposant ce type de services sur le territoire français", précise le rapport.

Quels sont ces obligations ? Elles portent en premier lieu sur les mesures d'identification des clients comme le prévoient les articles L. 561-5 à L. 561-12 du code monétaire et financier, dont les premiers contributeurs sont les agents, et en second lieu sur la sélection et le contrôle par le PSP de ses agents (articles. L. 523-2 et L. 523-3 du code monétaire et financier). C'est cette infrastructure qui pose problème, "au-delà de l'alimentation du compte en espèces", constate Tracfin qui relève points faibles, plusieurs vulnérabilités. La cellule cite en premier lieu l'identification du client expéditeur : les éléments d'identification client sont collectés par les points de vente et doivent être transmis immédiatement au PSP du pays expéditeur, qui devra les analyser et les conserver pendant au moins cinq ans. Les clients sont eux-mêmes responsables de l'actualisation de leurs données d'identité auprès du PSP.

Mais ce n'est pas la principale vulnérabilité de ce type de paiement. L'identification du client destinataire des fonds constitue la principale vulnérabilité de ce type de services. De plus, le PSP peut être un Établissement de Monnaie Électronique (EME), qui propose au client un compte de monnaie électronique utilisable à partir de son téléphone. Dans ce cas, les fonds reçus ne seront pas seulement retirables en espèces, mais pourront être directement utilisés au règlement d'autres types de biens et services. En clair, les paiements par mobile peuvent être très facilement anonymes. Pour Tracfin, qui est l'un des maillions essentiels de la communauté du renseignement, la surveillance des flux financiers devient donc impossible. Rappelons que c'est en traquant les transactions financières que les forces de l'ordre ont pu mettre la main sur les auteurs des attentats du 13 novembre à Paris.

Le contrôle des agents est également faillible. Si le PSP est immatriculé en France, les agents seront automatiquement déclarés à l'Autorité de contrôle prudentiel et de résolution (ACPR), et enregistrés au Registre des Agents Financiers (REGAFI). L'ACPR contrôlera les procédures du PSP concernant la gestion de ses agents. Autre cas, si le PSP est immatriculé dans un autre pays de l'Union Européenne et intervient en France sous le régime de la Libre Prestation de Services ou du Libre Établissement, ses agents français seront enregistrés auprès du superviseur de son pays d'immatriculation, lequel les notifiera à l'ACPR.

Mais, comme le précise et le regrette Tracfin, la qualité et le respect de ces procédures peut varier en fonction des opérateurs. "Un encadrement important des risques de blanchiment ou de financement du terrorisme consiste pour le PSP à imposer des plafonds restrictifs aux opérations, qu'il s'agisse de transfert de fonds, de réception de fonds, de retrait, de solde, ou de rechargement dans le cas de comptes de monnaie électronique", précise Tracfin qui souhaite que la réglementation soit adaptée à ce nouveau niveau de risque, afin que les opérateurs télécoms qui mettent en place ce type de services soient pleinement associés au dispositif LCB/FT, et ne fassent pas reposer l'ensemble des obligations de vigilance sur le seul PSP. "En termes de connaissance clients, il est important que les opérateurs télécoms et les PSP partenaires puissent échanger en temps réel des informations sur l'identité et la domiciliation de leurs clients, et que les cellules de renseignements financiers (CRF) puissent avoir accès à ces informations de manière directe et complète", poursuit le rapport. Difficile d'être plus clair.

Ce n'est pas la première fois que Tracfin pointe du doigt les dangers d'un paiement par mobile sans garde-fou. Le 26 mai 2016, lors d'un colloque du master 2 de droit pénal financier de l'université de Cergy-Pontoise sur le financement du terrorisme organisé à la Maison du barreau à Paris, Bruno Dalles avait fait part des ses inquiétudes. Contactés par La Tribune, les opérateurs téléphoniques qui se sont lancés dans cette activité étaient catégoriques: toutes les garanties en matière de sécurité et de traçabilité avaient été réunies. Il semble que ce ne soit pas le cas. [Le paiement sans contact représenterait une phase de transiton avant le passage au tout-biométrique dans... 15 ou 20 ans; ndc]