

Des chercheurs confirment les faiblesses des cartes de paiement RFID
Edition du 16/02/2007 - par
Olivier Rafal, avec IDG News Service
La RFID implémentée dans des cartes de paiement permet de réaliser des transactions sans contact... mais également de capter les noms des porteurs et les numéros des cartes bancaires, affirment des chercheurs.
Une étude réalisée par les laboratoires de RSA (avec l'aide de l'Université du Massachusetts et d'Innealta) vient bousculer le monde feutré des cartes bancaires. Présentée à la conférence « Financial Cryptography 2007 » qui vient de se conclure à Trinidad/Tobago, elle confirme des résultats préliminaires donnés il y a quelques mois : les cartes de paiement sans contact issues l'année dernière, utilisant la technologie d'échange de données par radiofréquence RFID, peuvent transmettre des informations en clair à un lecteur de puces RFID. Obtenir le nom du porteur, le numéro de la carte et la date d'expiration permettant alors d'en créer un clone (sans les trois chiffres de sécurité, toutefois).
Les auteurs de l'étude disent avoir testé une vingtaine de cartes, dont la « vaste majorité » a donné ces informations en clair. Visa, qui estime que six millions de ces cartes sont en circulation (Mastercard en aurait livré le double de ce nombre, d'après le RFID Journal), explique que la seconde génération de cartes corrige ce problème, seul le numéro étant accessible en clair. Concernant la première génération de cartes, raconte Brian Tripplett, vice-président senior responsable du développement des produits émergents, Visa avait suggéré aux banques de ne pas éditer de cartes transmettant le nom du porteur. Aujourd'hui, c'est une obligation.
Des cartes pas encore en circulation en France
Par ailleurs, le protocole de communication utilisé est désormais un peu différent de celui utilisé par les lecteurs RFID classiques, servant par exemple à inventorier les palettes de produits dans les supermarchés.
Toutefois, il faut noter que les risques soulevés sont relativement faibles. Les auteurs de l'étude reconnaissent eux-mêmes qu'il leur a fallu modifier légèrement les lecteurs RFID - ce qui demande donc des compétences plus complexes que ce qui peut se pratiquer dans d'autres types de piratage (avec un simple logiciel espion, par exemple) - et se tenir très près de la carte cible.
Nous n'avons pu obtenir de précisions de la part du GIE Cartes bancaires ni de Mastercard avant la publication de cet article sur les impacts éventuels en France. Visa, quant à lui, nous a confirmé que ce type de cartes n'était pas encore en circulation en France. Toutefois, un projet pourrait être lancé dès cette année, a précisé le porte-parole.
L'ACTUALITÉ DU JOUR
Les sociétés de technologies et médias remontent la pente boursière
(Source EuroTMT ) Les valeurs boursières des sociétés des secteurs TMT (Télécoms (...)
Le Maroc en tête de l'offshore francophone dans les centres d'appels
(Source EuroTMT ) L'activité des centres d'appels basés au Maroc n'a pas souffert (...)
TDF sous l'examen approfondi de l'Autorité de la concurrence
A l'heure où les réseaux sans fil passent à la vitesse supérieure, avec l'arrivée (...)
Projet : Webhelp paie 150 000 € pour 10 salles de visio conférence
Directeur général adjoint de WebHelp, une société spécialisée dans les centres d'appels, (...)
Trois Chambres départementales partagent un réseau très haut débit en VoIP
Installées à Périgueux, la Chambre de Commerce et d'Industrie, la Chambre des Métiers (...)
La polyclinique Le Val de Lys préfère le VDSL à l'Ethernet
La polyclinique Le Val de Lys souhaitait déployer un terminal dans chaque chambre. (...)
18 mars - Conférences Le Monde Informatique CIO : déduplication de données, les réponses de Sun et Symantec
Jeudi 18 mars à l'hôtel de Crillon (Place de la Concorde, Paris), sera l'occasion (...)