Quotidien finance innovation, innovation financière journal
Financial Year with Finyear
 
 
 
 


              

Les paiements NFC sont-ils sûrs ?


A l’heure où beaucoup s’accordent sur le fort développement à moyen terme du commerce mobile et où un consensus technologique semble s’installer autour des technologies sans contact, NFC(1) en tête, utilisateurs et experts s’interrogent légitimement sur la sécurité de ce type de paiement.




Laurent Besset
Laurent Besset
Beaucoup d’autres questions sur l’avenir du paiement sans contact restent bien sûr sans réponse : business model à définir entre Banques et MNO, bataille autour de l’emplacement de l’application de paiement entre MNO et constructeurs, vitesse de renouvellement du parc d’équipements, etc. Mais, le dernier obstacle à son adoption par le grand public, comme à celle de tout service financier, sera celui de la confiance.

Le paiement NFC, comment ça marche ?
En dépit de possibles variations, le processus de paiement NFC reste relativement générique. Le client dispose d’un mobile « équipé NFC » et contenant une application de paiement (carte bancaire ou/et porte-monnaie électronique). Le marchand possède un terminal de paiement « équipé NFC ». Au moment de régler l’achat, le client passe son mobile à proximité du terminal qui établit une communication radiofréquence avec le mobile et lit les informations fournies par l’application (identifiants de compte, plafonds, etc.). La transaction peut faire l’objet d’une demande de confirmation et d’une authentification du client sur son mobile. Le terminal de paiement du commerçant communique, si nécessaire, avec les réseaux bancaires. Pour les petits montants, l’autorisation de transaction peut être directement accordée par l’application de paiement.

Quelles failles de sécurité pour les paiements NFC ?
En toute logique, les failles de sécurité potentielles d’un paiement NFC sont à la convergence de failles déjà connues pour les paiements par carte bancaire « avec contact », et d’autres, propres aux environnements sans contact et à la technologie NFC : vol du téléphone mobile, i.e. du moyen de paiement, destruction de l’application de paiement, i.e. du moyen de paiement, sécurité de l’application de paiement et de ses données, déni de service, interception et manipulation des données confidentielles échangées lors d’une transaction, attaque-relais ou « man-in-the-middle », etc.

Un niveau de risque réel mais limité… pour l’instant
Concernant les failles analogues à celles du paiement « avec contact » que sont le vol, la destruction du moyen de paiement, ainsi que la sécurité de l’application de paiement, force est de constater que le paiement NFC peut difficilement être jugé plus vulnérable. Il offre même certaines sécurités complémentaires comme l’authentification sur la SIM (ou tout autre SmartCard) avant d’accéder à l’application de paiement et la possibilité de désactiver à distance la ou les applications du téléphone grâce aux plates-formes OTA des opérateurs (ou d’un tiers de confiance). De plus, le portage de la norme EMV aux cartes sans contact assure un niveau de sécurité applicatif au moins équivalent à celui des cartes avec contact.
Quant aux attaques, propres à la communication NFC, entre le téléphone et le terminal de paiement, hors le déni de service, elles restent difficiles et souvent plus théoriques que pratiques. Il faut tenir compte d’une part, de la complexité et des limites de manipulation liées aux schémas de modulation de fréquence et aux codages employés et d’autre part, de la possibilité pour tout équipement actif NFC de scanner le champ magnétique durant la transmission afin de détecter les attaques et, le cas échéant, mettre fin à la transmission. Qui plus est, la sécurisation du flux en amont, au niveau de l’application EMV (authentification des équipements et autorisation des transactions à base de certificats et de clés asymétriques), limite la valeur ajoutée réelle de ces attaques.

La sécurité ne peut et ne doit donc pas être considérée aujourd’hui comme un obstacle réel à l’adoption et à la diffusion du paiement NFC. Cela ne signifie pas pour autant que la menace n’existe pas et que le sujet doit être laissé au bord du chemin. En effet, la plupart des normes et protocoles sous-jacents étant très récents ou encore à l’étude, il est difficile de préjuger de la manière dont ils seront implémentés. Or, la pratique montre régulièrement que les failles de sécurité proviennent bien plus souvent d’un défaut d’implémentation technologique que d’un défaut de la technologie elle-même.
Il est également primordial de ne pas sous-estimer l’attrait croissant que constitueront ces nouveaux flux financiers, attrait qui ne manquera pas d’augmenter les moyens consacrés au piratage et donc la probabilité de trouver de nouvelles failles de sécurité.

(1) Near Field Communication ou Communication en champ proche est une technologie d'échanges de données à une distance de quelques centimètres.

Laurent BESSET, I-TRACING

Laurent Besset est ingénieur, diplômé de l’Institut National de Télécommunications. Il a rejoint I-TRACING, première société française dédiée à la traçabilité de l’information comme Consultant Senior.

Fondée en 2005 par Laurent Charvériat et Théodore-Michel Vrangos, I-Tracing est une entreprise Française entièrement dédiée à la traçabilité de l’information et la gestion de la preuve. I-TRACING combine la compréhension et l’anticipation des besoins fonctionnels, spécifiques à chaque environnement métier, à une grande expertise technologique des protocoles et des solutions Internet, de la mobilité et des télécommunications. Aujourd’hui, elle intervient sur différentes déclinaisons de la traçabilité de l’information auprès de grandes entreprises françaises telles que SFR, Pacifica, Groupe Sanofi-Aventis, UBIFRANCE, MACIF, Groupe France Telecom, Groupe Crédit Agricole, Groupe Lamy, Groupe La Poste, Groupe Carrefour, Institut Curie, Chambre des Notaires de Paris, UNESCO, Banque Fédérale des Banques Populaires, etc.

www.i-tracing.com

Vendredi 12 Septembre 2008
Notez




Nouveau commentaire :
Twitter

Your email address will not be published. Required fields are marked *
Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *



Recevez la newsletter quotidienne


évènements


Lettres métiers


Livres Blancs




Blockchain Daily News