Aujourd'hui, 34,7 millions de cartes NFC sont en circulation en France, soit 54 % de l'ensemble des cartes bancaires existantes. Il n'y en avait que 11 millions en 2013. Basée sur la technologie NFC (Near Field Communication), aussi dite CCP (Communication en Champ Proche) qui permet à deux objets de communiquer automatiquement quand ils sont proches l'un de l'autre, la carte de paiement sans contact permet de réaliser des petites transactions sans entrer son code bancaire. Promue par les banques dans l'optique de réduire leurs frais de gestion liés à la circulation de la petite monnaie, la carte de paiement sans contact reste pourtant peu utilisée en France. Selon un sondage Syntec Numérique-Odoxa de janvier 2015, 57 % des personnes interrogées trouvent ce service inutile et 14% ne l'utilisent pas par crainte de bugs.

Ces nouvelles cartes sont-elles fiables ? C'est la question posée à Grégory Estrade, directeur de la recherche et du développement à Lyra Network, une entreprise toulousaine spécialisée dans la sécurisation des transactions de proximité et en ligne.

Lors d'une crypto-party organisée à Toulouse en 2014, vous avez réalisé une expérience autour de la carte de paiement sans contact. De quoi s'agissait-il ?
En décembre 2011, l'ingénieur sécurité Renaud Lifchitz a montré à quel point les cartes NFC étaient véreuses en les testant avec un appareil coûtant une trentaine d'euros. À l'époque, il avait pu récupéré le nom du porteur, son numéro de carte, la date d'expiration et la liste des retraits et des débits enregistrés sur la puce.

En 2014, j'ai voulu refaire ce test en me disant qu'il y avait peu de chances que cela marche encore. Lors d'une crypto-party à Toulouse, j'ai emprunté la carte bancaire d'une personne du public et lorsque je l'ai posé sur mon capteur, elle a révélé tous ses secrets.

Ces résultats vous ont surpris ?
On aurait été en 2012, non. Mais en 2014, oui. Je ne m'y attendais pas.

Pourquoi la sécurité était-elle défaillante sur ces cartes de paiement sans contact ?
Elles reposent sur deux standards :

• L'Iso 7816 utilisé pour le paiement avec contact. Là, on est dans un terminal de paiement sécurisé. Il n'y a pas de moyen d'interception facile.
• L'Iso 14443 pour la lecture en NFC qui permet du formatage de message et de communication.

Par rapidité d'implémentation, on pourrait dire que ces deux standards ont été scotchés ensemble. Si bien que des données qui ne devraient pas sortir du cadre du paiement avec contact se sont trouvées disponible avec le sans contact. La volonté d'agir rapidement a engendré des négligences.

Ces négligences ont-elles été exploitées par des malfaiteurs ?
De manière massive, non. C'est quand même de la communication à courte distance. On a vu des reportages un peu sensationnalistes sur quelqu'un qui se baladerait avec un équipement dans un sac à dos et qui récupèrerait l'intégralité des informations des cartes des usagers du métro. Cela reste à mon avis du fantasme, car une lecture NFC n'est pas très rapide. La portée est d'une vingtaine de centimètres. Cela me semble difficile à exploiter. La fraude massive, je n'y crois pas, même s'il y a sûrement eu quelques cas de fraudes unitaires.

Depuis, la sécurité a-t-elle été remise à niveau ?
Oui, car la divulgation abusive d'information a été corrigée. Par contre, il existe de nouvelles attaque de type "man in the middle" qui sont facilement réalisables dans un laboratoire. Le principe est de mettre un téléphone Android proche de la carte NFC, un autre près du terminal de paiement. Cela permet de capturer l'échange entre les deux appareils. Ceci dit, je ne sais pas si les données captables sont exploitables.

Ce type d'attaque a-t-il été déjà utilisé ?
Bien que cela soit réalisable en laboratoire depuis longtemps, je pense qu'il est très complexe à mettre en pratique. Pour moi, c'est de la science fiction.

Vous dîtes cela parce que vous travaillez en relation avec le milieu bancaire ?
Non, non. Dans les années 80, quand la carte bancaire a été déployée, elle était connectée par modem aux banques. Les temps de communication étaient longs et la puissance des processeurs des terminaux de paiement était faible. On a donc sacrifié la sécurité pour du confort d'utilisation. La sécurité n'est pas une chose absolue. C'est la difficulté d'exploiter des informations qu'on souhaite garder confidentielle, en fonction du niveau d'attaque qui peut exister. Quand on estime que le niveau d'attaque est inaccessible à quelqu'un qui n'a que des compétences moyennes, on considère que le niveau de sécurité est suffisant.

Un article du CNRS de juillet 2015 parle d'une mesure de sécurité "Distance-Bounding Protocole" qui pourrait résoudre les problèmes de sécurités. De quoi s'agit-il ?
C'est la mesure de la distance entre l'émetteur et le récepteur pour savoir si l'émetteur est à la distance à laquelle on l'attend et pas placer trop près ou trop loin. C'est une mesure physique difficile à contrecarrer, encore que tout soit possible.

À vous entendre, tout est donc réglé aujourd'hui ?
Pas tout à fait. Il y a encore des cas où, si j'approche trop près ma carte d'un lecteur, je risque d'être débité alors que ce n'est pas à moi de payer. Les cartes Oyster pour le transport à Londres ont eu quelques problèmes. Les gens qui avaient leur carte Oyster et leur carte visa dans leur portefeuille se faisaient débiter deux fois lorsqu'ils passait près de la borne de lecture au métro.

Ce sont des ennuis qui seront réglés par les "distance-bounding protocol". À noter aussi l'approche de l'Apple pay où une transaction NFC peut être effectuée suite à l'identification de l'empreinte digitale du pouce via Touch ID. Je suis encore sceptique sur la capacité de ce dernier à identifier formellement le pouce de l'utilisateur, mais cela va dans le bon sens car c'est l'action initiale qui permet le paiement.

Enfin, des standards vont sortir dans le secteur bancaire pour le paiement à proximité ou à distance, notamment la tokennisation EMV. C'est la généralisation de la e-carte bleue à usage unique pour l'ensemble des transactions avec et sans contact.