20-01-2016, 08:02
<r>Une petit annonce pour toute les personnes utilisant le paiement sans contact !<br/>
<URL url="http://www.hostingpics.net/viewer.php?id=969266cartesanscontactcompresseebretagne.jpg"><s></s><IMG src="http://img15.hostingpics.net/thumbs/mini_969266cartesanscontactcompresseebretagne.jpg"><s>[img]</s><LINK_TEXT text="http://img15.hostingpics.net/thumbs/min ... etagne.jpg">http://img15.hostingpics.net/thumbs/mini_969266cartesanscontactcompresseebretagne.jpg</LINK_TEXT><e>[/img]</e></IMG><e></e></URL><br/>
Des hackers allemands ont confirmé des failles de sécurité dans deux protocoles utilisés dans les systèmes de paiement par carte.<br/>
Sur le papier, le paiement sans contact est très convainquant : en quelques secondes un client peut payer sa baguette ou son journal en passant sa carte bancaire devant un lecteur ad hoc. Plus besoin de taper son mot de passe. Les banques incitent les consommateurs à utiliser cette solution reposant sur la technologie NFC (pour Near Field Communication, communication en champ proche) qui ne fonctionne qu’à une faible distance, inférieure à 10 centimètres.<br/>
<B><s></s><I><s></s><U><s></s>Comment font-ils? <e></e></U><e></e></I><e></e></B><br/>
Une personne mal intentionnée qui se trouve à quelques centimètres de vous (dans le bus par exemple) peut récupérer à votre insu des informations sur votre carte et notamment son code PIN. Une simple application téléchargeable gratuitement sur internet permet de capter, via un smartphone compatible MSC, les informations confidentielles contenues sur une carte bancaire équipée de la technologie NFC. « En posant le téléphone sur la carte, on obtient des informations de la personne. On a la civilité, le numéro de carte, la date d’expiration, donc les deux informations qui servent à payer », explique à l’émission de la RTS Nicolas Chauveau, étudiant au laboratoire de cryptologie et de virologie opérationnelle de l’ESIEA, en France.<br/>
<B><s></s><I><s></s><U><s></s>La "faille"?<e></e></U><e></e></I><e></e></B><br/>
Une mauvaise implémentation du MAC (le code d’authentification de message) destiné à prouver que les données proviennent d’un tiers de confiance et qu’elles n’ont subi aucune modification.Lors des échanges d’informations avec l’organisme qui traite les paiements, le terminal du marchand envoie son identifiant. Cette connexion est chiffrée, mais elle est aussi lisible sur chaque reçu imprimé… Autre grave erreur, le mot de passe de la liaison chiffrée est généralement le même pour tous les marchands associés à un même organisme de gestion des paiements. En quelques secondes, un hacker peut le découvrir avec un logiciel spécial ou en cherchant un peu sur le web les mots de passe de tel ou tel organisme.<br/>
Mais des ingénieurs en sécurité chez British Telecom avais dévoiler les gros problèmes de sécurité des cartes bancaires utilisant la technologie NFC en 2012.<br/>
<B><s></s><I><s></s><U><s></s>Solution ?<e></e></U><e></e></I><e></e></B><br/>
Un spécialiste de la cryptographie au sein de l’Institut de recherche en informatique et systèmes aléatoires (Irisa), à Rennes, reconnaît que « des mesures ont été prises pour éviter que quelqu’un vide votre compte bancaire, en limitant une transaction à 20 euros, et de telle manière qu’on ne puisse pas faire plus de trois ou quatre paiements sans contact par jour ». En revanche, « il n’y a pas de réelles mesures de sécurité à l’intérieur des cartes bancaires pour éviter ce type d’attaque ».</r>
<URL url="http://www.hostingpics.net/viewer.php?id=969266cartesanscontactcompresseebretagne.jpg"><s></s><IMG src="http://img15.hostingpics.net/thumbs/mini_969266cartesanscontactcompresseebretagne.jpg"><s>[img]</s><LINK_TEXT text="http://img15.hostingpics.net/thumbs/min ... etagne.jpg">http://img15.hostingpics.net/thumbs/mini_969266cartesanscontactcompresseebretagne.jpg</LINK_TEXT><e>[/img]</e></IMG><e></e></URL><br/>
Des hackers allemands ont confirmé des failles de sécurité dans deux protocoles utilisés dans les systèmes de paiement par carte.<br/>
Sur le papier, le paiement sans contact est très convainquant : en quelques secondes un client peut payer sa baguette ou son journal en passant sa carte bancaire devant un lecteur ad hoc. Plus besoin de taper son mot de passe. Les banques incitent les consommateurs à utiliser cette solution reposant sur la technologie NFC (pour Near Field Communication, communication en champ proche) qui ne fonctionne qu’à une faible distance, inférieure à 10 centimètres.<br/>
<B><s></s><I><s></s><U><s></s>Comment font-ils? <e></e></U><e></e></I><e></e></B><br/>
Une personne mal intentionnée qui se trouve à quelques centimètres de vous (dans le bus par exemple) peut récupérer à votre insu des informations sur votre carte et notamment son code PIN. Une simple application téléchargeable gratuitement sur internet permet de capter, via un smartphone compatible MSC, les informations confidentielles contenues sur une carte bancaire équipée de la technologie NFC. « En posant le téléphone sur la carte, on obtient des informations de la personne. On a la civilité, le numéro de carte, la date d’expiration, donc les deux informations qui servent à payer », explique à l’émission de la RTS Nicolas Chauveau, étudiant au laboratoire de cryptologie et de virologie opérationnelle de l’ESIEA, en France.<br/>
<B><s></s><I><s></s><U><s></s>La "faille"?<e></e></U><e></e></I><e></e></B><br/>
Une mauvaise implémentation du MAC (le code d’authentification de message) destiné à prouver que les données proviennent d’un tiers de confiance et qu’elles n’ont subi aucune modification.Lors des échanges d’informations avec l’organisme qui traite les paiements, le terminal du marchand envoie son identifiant. Cette connexion est chiffrée, mais elle est aussi lisible sur chaque reçu imprimé… Autre grave erreur, le mot de passe de la liaison chiffrée est généralement le même pour tous les marchands associés à un même organisme de gestion des paiements. En quelques secondes, un hacker peut le découvrir avec un logiciel spécial ou en cherchant un peu sur le web les mots de passe de tel ou tel organisme.<br/>
Mais des ingénieurs en sécurité chez British Telecom avais dévoiler les gros problèmes de sécurité des cartes bancaires utilisant la technologie NFC en 2012.<br/>
<B><s></s><I><s></s><U><s></s>Solution ?<e></e></U><e></e></I><e></e></B><br/>
Un spécialiste de la cryptographie au sein de l’Institut de recherche en informatique et systèmes aléatoires (Irisa), à Rennes, reconnaît que « des mesures ont été prises pour éviter que quelqu’un vide votre compte bancaire, en limitant une transaction à 20 euros, et de telle manière qu’on ne puisse pas faire plus de trois ou quatre paiements sans contact par jour ». En revanche, « il n’y a pas de réelles mesures de sécurité à l’intérieur des cartes bancaires pour éviter ce type d’attaque ».</r>
<t></t>
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
</E></r>
