La CNIL enquête sur la sécurité des cartes NFC
La technologie NFC est à la mode ces derniers temps, insérée dans les derniers smartphones et les cartes bancaires par exemple elle permet de réaliser une multitude d'opérations telles que les paiements sans contact entre deux appareils.
La Commission Nationale Informatique et Libertés a lancé une enquête sur l’utilisation de la technologie NFC dans les cartes bancaires pour déterminer si les paiements sont sécurisés.
Présentée comme une avancée majeure elle pose cependant des problèmes de sécurité non négligeables qui n’ont pour l’heure pas encore été complètement résolus.
Dernièrement, un ingénieur de sécurité travaillant pour le compte de BT a dénoncé à l’occasion d’une conférence, le manque de sécurité du NFC. Une faille permettrait de récupérer les données personnelles stockées sur un support NFC, comme une carte bancaire. On imagine aisément les répercutions qu’un manque de protection pourrait avoir.
Renaud Lifchitz, spécialiste de la sécurité estime qu’il est possible de mettre au point un dispositif capable de lire à quelques mètres les données personnelles de ce type de support. Un simple téléphone équipé d’un logiciel et d’une antenne spéciale serait par exemple en mesure de devenir un véritable radar et ainsi de capter toutes les informations aux alentours.
Il suffirait donc de se placer à côté de quelqu’un qui utilise un terminal ou une carte NFC pour lui subtiliser ses coordonnées bancaires par exemple. Le spécialiste affirme également qu’il serait possible de réaliser des copies de cartes bancaires. Une faille qui a aussitôt été présentée aux organismes de régulation, dont la CNIL en France. La Commission n’a pas attendu est a annoncé dans un communiqué le lancement d’une enquête.
« Les cartes de paiement sans contact actuellement distribuées par certains établissements bancaires présenteraient un risque au regard de la sécurité des données personnelles qu’elles contiennent. La CNIL réalise donc actuellement des investigations techniques afin d’identifier d’éventuels problèmes de sécurité et d’évaluer leurs conséquences en termes d’impact sur la vie privée des porteurs de carte. La loi Informatique et libertés prévoit que les organismes mettant en œuvre des traitements informatiques doivent assurer la sécurité des données qu’ils traitent afin notamment d’empêcher que des tiers non autorisés n’y aient accès ».