La protection des Cartes NFC RFID
Les Cartes de paiement sans contact Visa – Master Card
Les cartes bancaires les plus récentes permettent de régler rapidement les achats, sans contact en utilisant le terminal, et sans composer son code confidentiel. Ces cartes bancaires utilisent la technologie RFID ou NFC. Elles sont identifiables grâce au pictogramme RFID.
« Poser, c’est payer ! », tel est le slogan de lancement des nouvelles cartes intégrant la solution sans contact distribuées par les organismes bancaires.
Les applications sont nombreuses et extrêmement avantageuses. Cependant, les cartes équipées de cette technologie peuvent présenter des failles de sécurité pouvant exposer le porteur à une lecture distante de sa carte. Le porteur de la carte est potentiellement exposé à la fraude bancaire et à l’usurpation d’identité.
Porte-cartes CB et Portefeuilles anti-fraude – NFC RFID Safe
Value Serve a développé une gamme de produits dédiée à la protection des Carte bancaire de paiement sans contact RFID – NFC.
Équipés d’une doublure de protection développée spécifiquement, les produits de maroquinerie du programme Welcome Card NFC RFID Safe agissent comme de mini cages de Faraday. Ils stoppent les flux magnétiques et protègent les cartes contre la démagnétisation.
Les cartes de l’utilisateur sont protégées du vol des informations et données bancaires.
Désolé, rien n’a été trouvé.
Tous les modèles de porte-cartes bancaires du programme sont certifiés « NFC – RFID Safe » en stoppant les ondes ils évitent le vol et la fraude à distance des cartes bancaires.
Une gamme intégrée au programme d’externalisation ValueServe.
Les émetteurs de CB consacrent chaque année des budgets importants à la distribution de porte-cartes en cuir ou PVC. Onéreux et compliqués à acheminer auprès des clients via les agences, ces étuis sont souvent d’une qualité perfectible et n’offrent pas les conditions de sécurité requises par les nouvelles technologies embarquées dans la carte (RFID-NFC) …
Aujourd’hui, le programme Welcome Card Maro Prestige s’enrichit d’une gamme de produits dédiés à la sécurité RFID et toujours intégré au modèle de diffusion proposant une solution clés en main radicalement différenciante :
- Un étui en cuir personnalisé aux initiales du client offert et adressé gracieusement à son domicile.
- Une gratuité totale pour la banque grâce à un mécanisme auto-payant conçu par Value Serve
Élégants et résistants, les portes cartes bancaire et produits en cuir offrent une protection RFID optimale. La sécurité Stop NFC RFID de cette gamme est garantie par l’utilisation d’une doublure intégrée au produit et parfaitement discrète.
Exemples de communications bancaires : Welcome Card – Maro Prestige
La montée en puissance du Paiement sans contact
Le nombre de cartes bancaires sans contact NFC RFID en circulation augmente rapidement.
Selon le groupement des cartes bancaires, le nombre de cartes équipées de puces NFC RFID pour payer sans contact a progressé de près de 50% en 2014 pour atteindre 38.8 millions en novembre 2015, soit près de 60% du parc. Coté commerçants ce sont plus de 332.169 terminaux de paiement qui sont équipés de la technologie sans contact, soit 29,5% du parc.
Parallèlement, depuis 2013, tous les établissements bancaires français ont constitué un stock d’étuis anti-NFC, à disposition de leurs clients qui en font la demande, et cela gratuitement.
Les banques doivent disposer d’un stock équivalent à 10% du nombre de cartes NFC en circulation. C’est une instruction de la Banque de France. Cette précaution est louable mais ne répond pas à deux problématiques importantes.
Comment proposer une solution :
- Couvrant 100% des clients détenteurs d’une carte NFC à moindre coût
- Proposant un produit de qualité attrayant et non stigmatisant comme les étuis NFC disgracieux proposant de protéger les cartes.
Le paiement sans contact NFC – RFID.
Les systèmes de paiement sans contact telS que ceux embarqués dans les cartes de crédit utilisent la technologie RFID (Radio frequency identification) et NFC (Near Field Communication) pour effectuer des paiements.
La carte intègre la puce et une antenne permettent aux consommateurs de payer avec leur carte (sans contact) sur un lecteur au point de vente.
Les transactions réalisées avec ces technologies sont réputées presque deux fois plus rapides qu’une transaction classique. Il n’y a ni signature, ni saisie du code PIN requis pour les achats de moins de 20€.
NFC, cartes bancaires et sécurité
Pour des raisons pratiques, le standard technique NFC – RFID retenu par les banques fait que la communication entre la carte et le lecteur se fait de manière non chiffrée et non authentifiée.
Il est de fait relativement simple, pour une personne mal intentionnée, d’interroger la carte et de récupérer les informations de la carte : numéro de carte et date de validité. Dans certains pays, ces informations sont suffisantes pour effectuer des achats en ligne.
Récemment, la marque Apple a encore une fois « révolutionné » le marché en dévoilant la nouvelle version de son smartphone vedette, qui propose notamment la fonction de paiement sans contact.
Cette fonctionnalité n’est pas nouvelle. Mais au-delà de la nouveauté, quid de la sécurité de ce système qui équipe également les cartes bancaires ? La question a déjà été soulevée par la CNIL, mais le système NFC RFID continue de se répandre sans que toutes les précautions nécessaires soient prises.
NFC – RFID : Une technologie en forte croissance
Le NFC, pour Near Field Communication autrement appelé RFID pour Radio Fréquence Identification, est un dispositif de communication à courte distance sans fil. Il permet à un équipement d’échanger des informations avec un terminal grâce à une antenne et un protocole spécifique.
C’est cette technologie qui permet le paiement sans fil smartphones et cartes bancaires depuis près de trois ans. La France utilise cette technologie depuis longtemps, puisque la société française Inside Secure, l’un des précurseurs du NFC – RFID, a déposé ses tout premiers brevets dès 1999.
Un des exemples les plus connus reste le Pass Navigo, mis en circulation au début des années 2000, une carte permettant d’emprunter les transports parisiens utiliser de ticket.
Le Pass Navigo une application très sécurisée
Les échanges entre le Pass Navigo et son lecteur sont authentifiés et chiffrés.
Les CB NFC RFID proposées par les établissements bancaires NFC ne bénéficient pas de toutes ces protections. Une simple application pour smartphone permet de lire à distance les informations contenues dans la CB : type de carte, nom de la banque, numéro de carte, date d’expiration, 15 dernières transactions en détails (date, heure, montant, etc.).
Ces données peuvent potentiellement être récupérées et recopiées sur de fausses cartes pour être utilisées par des personnes malveillantes. Il est également possible de mettre en œuvre un système de relais grâce à deux terminaux distants reliés via Wifi ou 3G, et ainsi créer un pont d’échange entre une CB victime et le point de paiement, afin d’utiliser frauduleusement, à distance et en direct, la fonction de paiement sans contact de cette carte.
Certes, des efforts de sécurisation ont été faits sur les CB NFC RFID les plus récentes (le chiffrement des données relatif aux transactions a été corrigé depuis 2013), et la limite de montant de règlement est fixée à 20€ par transaction.
L’argument principal de protection du consommateur est l’assurance en cas de fraude. Mais le recours à cet argument ne crée pas la confiance.
Du coté des fabricants de smartphones difficile de savoir s’il chacun prend les précautions nécessaires pour sécuriser de façon optimale les transactions. Certaines de ces marques tentent cependant d’améliorer la sécurité de ces systèmes (authentification par emprunte sur l’iPhone 6).
Différence entre NFC et RFID
La Radio Identification, ou RFID est une technologie permettant d’identifier un objet grâce à une étiquette émettant des ondes radio. La RFID fait partie des RTLS (RTLS : Real Time Localisation System) technologies de localisation en temps réel et est utilisée notamment dans le cadre du traçage de marchandises dans de nombreux secteurs d’activité.
Me NFC est un dérivé de la technologie RFID. La différence notable réside dans le fait que la technologie NFC permet un transfert de données plus limité, elle fonctionne à plus faible distance, contre plusieurs mètres pour la RFID.
Comment sécuriser les objets équipés du NFC ?
Il existe bien un principe radical permettant de sécuriser les équipements intégrant le NFC RFID. Il repose sur le tryptique : authentification, chiffrement et signature. Ces trois principes sont indissociables si l’on veut véritablement sécuriser cette technologie, et la plupart des CB et smartphones ne les appliquent pas tous car ils nuisent drastiquement à l’expérience utilisateur voulue par l’usage du sans contact.
La possibilité la plus pérenne, la moins hasardeuse et préservant la simplicité de la CB sans contact consiste à s’équiper d’un étui ou d’un portefeuille protégé par une surface stop RFID, créant une sorte de cage de Faraday qui empêchera toute interconnexion non souhaitée tout en conservant la fonctionnalité.
Quant aux smartphones, l’unique solution réellement efficace de ce point de vue réside dans la désactivation pure et simple de la fonction NFC.
Origine et principe de la technologie RFID
La puce RFID existe depuis la Seconde Guerre mondiale, mais elle connait une croissance importante depuis la fin des années 90 et son utilisation dans les domaines de la consommation et de la sécurité : permis de conduire, passeports biométriques, badges, cartes de transports, etc.
La technologie RFID repose sur l’usage d’une puce reliée à une antenne miniature. La puce RFID contient des caractéristiques sur le produit équipé de la puce. Ces informations sont communicables par ondes radios pour identification du produit.
RFID : l’utilisation des puces
L’abréviation RFID signifie « Radio Frequency IDentification », en français, « Identification par Radio Fréquence ». Cette technologie permet d’identifier un objet, d’en suivre le cheminement et d’en connaître les caractéristiques à distance grâce à une étiquette émettant des ondes radio, attachée ou incorporée à l’objet. La technologie RFID permet la lecture des étiquettes même sans ligne de vue directe et peut traverser de fines couches de matériaux.
La technologie des puces d’identification RFID est très étendue et permet de s’adapter à des multitudes de situations. Deux types de puces peuvent se distinguer selon l’utilité à laquelle elles seront destinées :
On connait 3 catégories d’étiquettes RFID :
- Les étiquettes en lecture seule, non modifiables
- Les étiquettes « écriture une fois, lecture multiple »
- Les étiquettes en « lecture réécriture »
Il existe deux grandes familles d’étiquettes RFID :
- Les étiquettes actives, connectées à une source d’énergie embarquée (pile, batterie…). Leur portée est meilleure mais cout et durée de vie sont moins avantageux.
- Les étiquettes passives, utilisant l’énergie propagée à courte distance par le signal radio de l’émetteur. Ces étiquettes RFID sont plus petites et possèdent une durée de vie beaucoup plus longue.
La RFID permet de répondre à un grand nombre de besoins. Elle se développe en entreprise et dans la logistique.
