la-zorra

Faut-il avoir confiance a l'informatique ?

il y a 10 ans
Auteur Message
Photo de la-zorra
la-zorra (clôturé) il y a 10 ans

Avec les CB équipées de NFC (Near Field Communication ), tout le monde peut se faire avoir !
Sachant que les mobiles sont de plus en plus performants ,et , que les gens mal intentionnés le savent …
La vidéo dure 16 minute, a voir :

http://www.youtube.com/watch?feature=player_detailpage&v=W1Vtm4B6u60

Photo de azalee.zoa
azalee.zoa (clôturé) il y a 10 ans

merci pour la vidéo.... j'avais vu sur facebook... J'ai tout de suite regardé ma carte bleue....il y a le logo que je n'ai pas demandé!!!
Comme je dois prendre RV avec ma "conseillère", je vais demander à ce qu'on m'en donne une autre, je refuse ce genre de truc.

Photo de la-zorra
la-zorra (clôturé) il y a 10 ans

Citation de "azalee.zoa"merci pour la vidéo.... j'avais vu sur facebook... J'ai tout de suite regardé ma carte bleue....il y a le logo que je n'ai pas demandé!!!
Comme je dois prendre RV avec ma "conseillère", je vais demander à ce qu'on m'en donne une autre, je refuse ce genre de truc.


On peut toujours demander la désactivation , mais il faut batailler dur ! Ils vont ,dans un premier temps vous proposer une pochette sécurité a 0,50 euros ; Évidement, si vous insistez , ils vous la changeront ! Mais , facturée...je l'ai fait faire en juin , après un mois de combat, et , facturée 48,50 euros .

a lire également :
http://www.ufcnancy.org/index.php?reftxt=201206171043

Photo de framboise87
framboise87 (clôturé) il y a 10 ans

Citation de "la-zorra"Citation de "azalee.zoa"merci pour la vidéo.... j'avais vu sur facebook... J'ai tout de suite regardé ma carte bleue....il y a le logo que je n'ai pas demandé!!!
Comme je dois prendre RV avec ma "conseillère", je vais demander à ce qu'on m'en donne une autre, je refuse ce genre de truc.


On peut toujours demander la désactivation , mais il faut batailler dur ! Ils vont ,dans un premier temps vous proposer une pochette sécurité a 0,50 euros ; Évidement, si vous insistez , ils vous la changeront ! Mais , facturée...je l'ai fait faire en juin , après un mois de combat, et , facturée 48,50 euros .

a lire également :
http://www.ufcnancy.org/index.php?reftxt=201206171043



ça aussi et pas vu non plus !! je refuse moi aussi ce genre de " truc " , pas assez sécurisé à mon goût , merci pour l'info en tout cas

Photo de sibelius
sibelius il y a 10 ans

Il faudra, hélas, vous y faire, Mesdames .. à l'avenir, tout sera ainsi .. :-s

On va, bien sûr, nous présenter cela comme "un progrès " ..

Photo de framboise87
framboise87 (clôturé) il y a 10 ans

Citation de "sibelius"Il faudra, hélas, vous y faire, Mesdames .. à l'avenir, tout sera ainsi .. :-s

On va, bien sûr, nous présenter cela comme "un progrès " ..


bonjour sib , un progrés pour faciliter la tâche des arnaqueurs sans doute ...

Photo de sibelius
sibelius il y a 10 ans

Citation de "framboise87"Citation de "sibelius"Il faudra, hélas, vous y faire, Mesdames .. à l'avenir, tout sera ainsi .. :-s

On va, bien sûr, nous présenter cela comme "un progrès " ..


bonjour sib , un progrés pour faciliter la tâche des arnaqueurs sans doute ...


Exactement !

Ou pour ceux qui tiennent si solidement les cordons de notre bourse ..

Photo de sibelius
sibelius il y a 10 ans

http://www.panoptinet.com/cybersecurite-decryptee/les-puces-rfid-ou-le-pickpocket-electronique/

Les puces RFID commencent à peupler nos objets personnels pour simplifier les usages du quotidien grâces aux ondes radio qu’elles émettent : cartes bancaires, passeports, pass transport, etc.

Mais ces ondes sont rarement cryptées, de sorte qu’il devient très facile de les intercepter, et même de les copier sur un autre support, et donc d’usurper l’identité d’autrui. La preuve en vidéo !

C’est quoi le RFID ?

Le RFID (Radio Frequency IDentification) est un procédé électronique qui permet la radio-identification. Il se matérialise souvent par des puces, intégrées à nos objets du quotidien, qui servent à nous identifier plus rapidement et plus simplement lors de nos passages dans les magasins, les aéroports, les transports publics, etc.

Si cette technologie est surtout répandue en Amérique de Nord ou au Japon, elle existe aussi en France, et est appelée à se développer dans les années à venir.

Son usage peut s’avérer très pratique dans la vie de tous les jours, notamment pour gagner du temps, mais il apparaît aussi que les conditions de sécurité des puces RFID sont pour le moins inquiétantes, à tel point que l’usurpation d’identité peut devenir un jeu d’enfant.

En quoi le RFID peut présenter un problème de sécurité ?
Les ondes radios émises par une puce RFID servent à identifier une personne (et donc à autoriser un paiement par exemple).

Le problème est que ces ondes radios sont émises « en clair », c’est à dire non-protégées par un cryptage quelconque. Si bien qu’en théorie, le premier passant qui frôle une de vos puces RFID peut capter son signal, le lire, le stocker, et même le copier sur un autre support (carte vierge par exemple).

Auquel cas, le passant peut se faire passer pour vous, puisqu’il possède un double de votre puce RFID (ex : Passe Navigo). Quand l’usurpation d’identité devient un jeu d’enfant…

Aux Etats-Unis, ou la technologie RFID est beaucoup plus répandue qu’en France, un bidouilleur s’est livré à une expérience déconcertante dans une grande surface, attelé d’un dispositif technique précédemment acheté sur Internet, pour moins de 100$. Aucune malhonnêteté dans sa démarche, qui se veut purement didactique. Admirez la tête des gens qui se font « avoir » !


L’instigateur de cette expérience arrive en quelques secondes à « scanner » les puces RFID d’inconnus, et à récolter des numéros de carte de crédit, leur date d’expiration, et toutes les informations nécessaires pour fabriquer une carte clone.

Les prescripteurs de cette technologie sur carte bancaire (MasterCard, Visa, American Express) assurent que le procédé est équipé d’un « système de prévention des fraudes particulièrement sophistiqué« . Une garantie qui prend un sérieux coup de plomb dans l’aile lorsque l’on observe le protagoniste de la vidéo cloner une carte (sur une carte de chambre d’hôtel !) en moins de 30 secondes, et se servir de la copie pour acheter son déjeuner dans un célèbre fast food.

Les puces RFID ne concernent pas que les cartes bancaires, mais aussi de plus en plus les passeports, les cartes de transport, les badges d’accès, etc.

Comment protéger les ondes radio émises par RFID ?

Si vous possédez un support intégrant une puce RFID qui vous fait courir un risque d’usurpation d’identité, vous pouvez essayer de réduire ce risque, en attendant que les ondes RFID soient un jour cryptées :

Ranger votre support RFID dans une pochette spécialement conçue pour bloquer l’émission des ondes (ex : SilentPocket)

Moins onéreux, mais aussi moins pratique, envelopper votre support RFID dans du papier aluminium

Plus radical, charcuter le support RFID pour en retirer la puce.

Le support devient néanmoins inutile si ses seules fonctions utilisaient le RFID… Et il n’est pas certain que le fournisseur de la carte (ex : banque) accepte de vous l’échanger si besoin…

Demander une carte sans puce RFID à sa banque

Photo de sibelius
sibelius il y a 10 ans

Objet : Puce RFID voir aussi la P J, avec photos
http://lesmoutonsenrages.fr/2013/02/16/tuto-comment-neutraliser-une-puce-rfid/

Tutoriel : comment neutraliser une puce RFID
16 février, 2013
Posté par Benji sous Big Brother/sécurité!, Se préparer pour "après"
261 commentaires

La puce RFID est un réel danger en devenir, notamment quand au respect de notre vie privée.

Celle-ci commence à se trouver partout, toujours pour une utilisation « géniale » qui va vous aider dans la vie de tous les jours, que cela soit la surveillance de votre état de santé, payer sans avoir d’argent sur soi, surveiller vos enfants ou faire partie des membres privilégiés dans des boites de nuit, sauf lorsque celle-ci est incluse dans des documents officiels comme la carte d’identité, pour l’heure, personne ne sait réellement à quoi elle sert.

Maintenant, il y a moyen de désactiver les puces RFID, et ces moyens ne sont pas très compliqués.

Première méthode:

Mettre la puce au micro-onde durant 5 secondes, le temps que l’antenne chauffe et que la puce en devienne inutilisable.

Attention aux risque qu’il pourrait y avoir au niveau incendie puisque cette méthode comporte néanmoins quelques risques. Cette méthode ne convient pas par contre aux documents officiels tels que les cartes d’identités puisque cela peut laisser traces visibles. Une méthode à éviter également sur les cartes de crédit puisque la bande magnétique reste sensible.

Seconde méthode:

S’attaquer à la puce RFID avec une pointe, une aiguille ou le bout du couteau. Bien évidement, cela laisse là aussi des traces visibles et détériore autant le contenant que le contenu, toujours un souci avec les documents officiels. Le but est de couper l’antenne de la puce RFID l’empêchant de recevoir/émettre ainsi que de se recharger le cas échéant.

Dernière méthode:
Peut-être la plus simple: attaquer la puce à coups de marteau, en frappant sur la puce avec des coups secs. Les dommages sur les documents officiels sont moindres et ne laissent pas percevoir que la destruction est volontaire.

Cela reste des méthodes intéressantes lorsque la puce n’est pas implantée, pour cette dernière option, une autre méthode est possible mais demande un minimum de bricolage:

Rien de plus simple apparemment que de désactiver les puces RFID.

Pour ce faire, il suffit de prendre un appareil photo numérique bon marché, de le coupler à un solénoïde pour augmenter la puissance du flah, ce qui permet alors de générer un champ électromagnétique pulsé fort mal supporté par les puces RFID.

Une solution plus rustique nécessite un flash cube, une pile 9 volts et un bobinage réalisé avec une dizaine de mètres de fil électrique. Rustique, mais efficace. Seul ennui dans ce dernier cas, certains microordinateurs mal isolés ont alors tendance à faire des caprices. Mais, comme on peut le constater, la RFID devient aussi un loisir créatif.

D’autres méthodes seraient disponibles dont avec un téléphone portable, si quelqu’un réussi à trouver cette méthode, n’oubliez pas que nous sommes tous intéressés. ;)
Sources: filrfid.org, boingboing.net

_________________________________

http://fr.wikipedia.org/wiki/Radio-identification

Radio-identification
Un article de Wikipédia, l'encyclopédie libre.

Une puce de radio-identification EPC utilisée par Wal-Mart
Puce électronique sous-cutanée ( par RFID) implantée chez les carnivores domestiques et comparée avec un grain de riz

La radio-identification, le plus souvent désignée par le sigle RFID (de l’anglais radio frequency identification), est une méthode pour mémoriser et récupérer des données à distance en utilisant des marqueurs appelés « radio-étiquettes » (« RFID tag » ou « RFID transponder » en anglais)[1].

Les radio-étiquettes sont de petits objets, tels que des étiquettes autoadhésives, qui peuvent être collés ou incorporés dans des objets ou produits et même implantés dans des organismes vivants (animaux, corps humain[2]).

Les radio-étiquettes comprennent une antenne associée à une puce électronique qui leur permet de recevoir et de répondre aux requêtes radio émises depuis l’émetteur-récepteur.

Ces puces électroniques contiennent un identifiant et éventuellement des données complémentaires.

Cette technologie d’identification peut être utilisée pour identifier :
les objets, comme avec un code-barres (on parle alors d’étiquette électronique) ;
les personnes, en étant intégrée dans les passeports, carte de transport, carte de paiement (on parle alors de carte sans contact) ;

les carnivores domestiques (chats, chiens et furets) dont l'identification RFID est obligatoire dans de nombreux pays, en étant implantée sous la peau. C'est également le cas de manière non obligatoire pour d'autres animaux de compagnie ou d'élevage (on parle alors de puce sous-cutanée).

Sommaire
Principe
Un système de radio-identification se compose de marqueurs, nommés radio-étiquettes ou transpondeurs (de l'anglais transponder (en), contraction des mots transmitter et responder) et d’un ou plusieurs lecteurs. Un marqueur est composé d’une puce et d’une antenne.

Lecteurs
Ce sont des dispositifs actifs, émetteurs de radiofréquences qui vont activer les marqueurs qui passent devant eux en leur fournissant à courte distance l’énergie dont ceux-ci ont besoin. La fréquence utilisée est variable, selon le type d’application visé et les performances recherchées[3] :

125 kHz ;
134,2 kHz pour la charge du transpondeur ; 134,2 kHz pour un bit 0 et 123,2 kHz pour un bit 1 pour la réponse du transpondeur dans le cas d’une transmission FSK (Texas Instruments Series 2000) ;
13,56 MHz (ISO 14443A 1-4, ISO 14443B 1-4, ISO 15693-3 et ISO 18000-3) ;

915 MHz aux États-Unis, de 865 MHz à 868 MHz dans l’Union européenne pour l’UHF (EPCglobal et ISO 18000-6c ; les fréquences et les puissances d’émission dépendent des législations en vigueur) ;

2,45 GHz ou 5,8 GHz (micro-ondes).
Une fréquence plus élevée présente l’avantage de permettre un échange d’informations (entre lecteur et marqueur) à des débits plus importants qu’en basse fréquence.

Les débits importants permettent l’implémentation de nouvelles fonctionnalités au sein des marqueurs (cryptographie, mémoire plus importante, anti-collision). Par contre une fréquence plus basse bénéficiera d’une meilleure pénétration dans la matière.

L’anti-collision est la possibilité pour un lecteur de dialoguer avec un marqueur lorsque plus d’un marqueur se trouvent dans son champ de détection.

Plusieurs algorithmes d’anti-collision sont décrits par les normes (ISO 14443, ISO 15693 et ISO 18000).

Radio-étiquettes
Ce sont des dispositifs passifs, ne nécessitant aucune source d’énergie en dehors de celle fournie par les lecteurs au moment de leur interrogation.

Auparavant, la lecture des puces passives était limitée à une distance d’environ 10 mètres , mais maintenant, grâce à la technologie utilisée dans les systèmes de communications avec l’espace lointain, cette distance peut s’étendre jusqu’à 200 mètres[4].

Outre de l’énergie pour l’étiquette, le lecteur envoie un signal d’interrogation particulier auquel répond l’étiquette. L’une des réponses les plus simples possibles est le renvoi d’une identification numérique, par exemple celle du standard EPC-96 qui utilise 96 bits. Une table ou une base de données peut alors être consultée pour assurer un contrôle d’accès, un comptage ou un suivi donné sur une ligne de montage, ainsi que toute statistique souhaitable.

Le marqueur est extrêmement discret par sa finesse (parfois celle d’une feuille de rhodoïd), sa taille réduite (quelques millimètres), et sa masse négligeable. Son coût étant devenu minime, on peut envisager de le rendre jetable, bien que la réutilisation soit plus « écologiquement correcte ».

Le marqueur se compose :
d’une antenne ;
d’une puce de silicium ;
d’un substrat et/ou d’une encapsulation.

Notons aussi l’existence des marqueurs « actifs » et « semi-actifs » (aussi appelés BAP, (en)Battery-Assisted Passive tags, (fr)marqueurs passifs assistés par batterie) qui incluent une batterie.

Les étiquettes actives sont équipées d’une batterie leur permettant d’émettre un signal. De ce fait, ils peuvent être lus depuis de longues distances, contrairement aux marqueurs passifs.

Cependant, une émission active d’informations signale à tous la présence des marqueurs et pose des questions quant à la sécurité des marchandises.

Les étiquettes semi-actives n’utilisent pas leur batterie pour émettre des signaux. Elles agissent comme des étiquettes passives au niveau communication. Mais leur batterie leur permet, par exemple, d’enregistrer des données lors du transport. Ces étiquettes sont utilisées dans les envois de produits sous température dirigée et enregistrent la température de la marchandise à intervalle régulier.

Contraintes
Éthique, vie privée
Dans le monde, dans les années 2000, dans tous les pays industrialisés, les puces RFID se banalisent très vite, et en 2010, l 'implantation de micropuces « chez l'homme se pratique déjà (ex : puce VeriChip™ ou « code barre humain »), avec le risque corrélatif de formes de contrôle de l’individu et de la société »[5], avant même que la législation n'ait eu le temps de s'appuyer sur une réflexion éthique approfondie, notamment concernant les dispositif actifs ou passifs et de plus en plus miniaturisés

(En 2006, Hitachi proposait déjà une puce carré de 0.15 x 0.15 mm ; plus petite que le diamètre d'un cheveu[6]) implantables ou implantés dans le corps humain[5] et/ou dans ou sur les vêtements (wearable computing ou cyber-vêtement), les objets communiquants (Une société allemande ;Ident Technology [7] a mis au point des dispositifs faisant de la peau humaine (ou animale) vivante ou d'autres parties du corps un transmetteur de données numériques)[5], autant d'innovations qui sont aussi des sources de questions éthiques et de risques de dérives tout à fait nouveaux[8],[9].

En Europe, après un rapport de 2005 sur les nouveaux implants dans le corps humain, [10], et après une table ronde organisée par le GEE fin 2004 à Amsterdam[11], en Europe, la Commission européenne a demandé au « Groupe interservice sur l'éthique » (dont le secrétariat[12] assuré par le BEPA (Bureau des Conseillers de Politique européenne)[13]) est chargé de produire des avis sur les questions éthiques concernant la législation dans le domaine des sciences et des technologies, en lien avec le un « groupe européen d’éthique des sciences et des nouvelles technologies » [14]lequel - à la demande du GEE - a produit, (le 16 mars 2005) un avis intitulé « Aspects éthiques des implants TIC dans le corps humain »[5] au regard des droits fondamentaux et en particulier des articles suivants : art.1 (« Dignité humaine »), art.3 («Droit à l'intégrité de la personne») et art.8 («Protection des données à caractère personnel») par la Charte des droits fondamentaux de l'Union européenne[15], et au regard de la santé publique, de la protection de la vie privée dans le secteur des communications électroniques[16], de la législation sur les dispositifs médicaux implantables actifs[17], au regard du consentement et de la Vie privée et du droit à l'information[18], au regard de la protection du génome humain[19], au regard de la protection des personnes à l'égard du traitement automatisé des données à caractère personnel[20], au regard de possibles utilisations abusives [21].

En France en 2008 (ou existe conformément à la législation européenne un droit à l'intégrité physique), la CNIL s'est inquiétée - dans son rapport annuel du 16 mai 2008 - des risques de traçabilité des individus qui n'ont pas accès à leurs données.

Obstacles
Environnement métallique
La lecture de radio-étiquettes posées sur des objets situés dans un conteneur métallique est plus difficile. La distance de communication possible est diminuée, par effet de cage de Faraday, qui réalise un blindage électromagnétique.

Collisions
Lorsque plusieurs marqueurs se trouvent dans le champ d’un même lecteur, les communications sont brouillées par l’activité simultanée des marqueurs.

La détection de la collision est en fait une détection d’erreur de transmission, à l’aide d’un bit de parité, d'une somme de contrôle ou d'une fonction de hachage. Dès qu’une erreur est détectée, l’algorithme d’anticollision est appliqué.

Plusieurs méthodes d’anticollision ont été développées. Voici les quatre principales :

La méthode fréquentielle : Chaque marqueur communique sur une plage de fréquences différente avec le lecteur. En pratique, c’est inutilisable à grande échelle.

La méthode spatiale : Avec une antenne directionnelle et à puissance variable, le lecteur va couvrir petit à petit chaque partie de l’espace pour communiquer avec chaque marqueur et l’inhiber, en attendant de le réactiver pour ensuite communiquer avec.

En pratique, la présence de deux marqueurs à faible distance l’un de l’autre rend cette méthode inefficace.

La méthode temporelle : Le lecteur propose aux marqueurs une série de canaux de temps dans lesquels ils peuvent répondre.

Les marqueurs choisissent de façon aléatoire le canal de temps dans lequel ils vont répondre.

Si un marqueur est le seul à répondre dans ce canal de temps, il est détecté et inhibé par le lecteur.

S’il y a plusieurs marqueurs qui répondent en même temps, il sera nécessaire d’effectuer à nouveau cette méthode.

Petit à petit, tous les marqueurs sont connus et inhibés ; il suffit alors au lecteur de réactiver le marqueur avec lequel il souhaite communiquer.

En pratique, le côté aléatoire fait que la durée de cette méthode est inconnue.

La méthode systématique : Il existe de nombreux brevets décrivant des méthodes systématiques.

Cette méthode consiste à détecter puis inhiber tour à tour tous les marqueurs en parcourant l’arbre de toutes les possibilités d’identifiants (par exemple, le lecteur envoie une requête du type « Tous les marqueurs dont le premier bit d’identification est 1 doivent se manifester. »

Si un seul marqueur se manifeste, le lecteur l’inhibe, et s’intéresse ensuite aux marqueurs avec pour premier bit 0, et ainsi de suite).

En pratique, cette méthode peut parfois s’avérer longue.

Utilisations

Article connexe : Intergiciel pour étiquettes électroniques.

Marquage d'objets

Système implanté d'identification et mémorisation : de manière courante, des puces basse fréquence (125 à 135 kHz) sont utilisées pour la traçabilité d'objets (ex : fûts de bière). La traçabilité d'objets tels que des livres dans les librairies et les bibliothèques ou la localisation des bagages dans les aéroports utilise plutôt la classe haute fréquence (13,56 MHz).

Contrôle d'accès : il se fait par badge de « proximité » ou « mains-libres ».

Certaines « clés électroniques » d'accès sont des marqueurs permettant la protection « sans serrures » de bâtiments ou portières automobiles.

Les badges mains-libres, permettent une utilisation jusqu’à 150 cm (selon le type d’antenne utilisée). Ils peuvent contenir une Identité numérique ou un certificat électronique ou y réagir et permettent l'accès à un objet communicant ou son activation.

Utilisé par exemple pour le contrôle d'accès à des systèmes de transports en commun (exemple Passe Navigo)

Le contrôle d’accès à des bâtiments sensibles est un domaine où le système de radio-identification remplace les badges magnétiques, permettant l’authentification des personnes sans contact.

La radio-fréquence de la plupart des badges d'accès ne permet qu'une utilisation à quelques centimètres, mais ils ont l’avantage de permettre une lecture-écriture dans la puce, pour mémoriser des informations (biométriques, par exemple).
Traçabilité distante d'objets (fixes ou mobiles) : Par exemple, des palettes et conteneurs peuvent être suivis dans des entrepôts ou sur les docks) via des marqueurs UHF (ultra haute fréquence).

À cette fréquence, la lecture n'est théoriquement pas possible à travers l’eau (et donc le corps humain).

Cependant lors des RFID Journal Awards 2008, l'entreprise Omni-ID a présenté une étiquette RFID lisible à travers l’eau et à proximité de métal, avec un taux de fiabilité de 99,9 %.

Des marqueurs micro-ondes (2,45 GHz) permettent le contrôle d'accès à longue distance de véhicules, comme par exemple sur de grandes zones industrielles. Ces marqueurs sont généralement actifs.

Traçabilité d'aliments : Dans la chaîne du froid, des aliments peuvent théoriquement être suivis par une puce enregistrant les variations de température.

Transactions financières
Moyen de paiement : À Hong Kong et aux Pays-Bas des marqueurs en forme de carte de crédit sont répandus comme moyen de paiement électronique (équivalent de Moneo en France).

Elles sont également utilisées à Bruxelles (Belgique) comme titre de transport sur le réseau de STIB (voir MoBIB) et désormais en France, à travers les services de paiement sans contact de Cityzi, expérimentés à Nice depuis 2010[22].

Marquage d'êtres vivants

Identification de plantes (arbres de la ville de Paris), d'animaux d'élevage (vaches, cochons) ou d'animaux de compagnie comme les chats et les chiens (grace à une puce installée sous la peau dans le cou), d’animaux sauvages (cigognes, manchots): ce sont généralement des puces basse fréquence (125 à 135 kHz).

Relevés scientifiques : des marqueurs sont aussi des moyens de communication pour la collecte des données issues des relevés scientifiques (monitoring) produits dans un organisme ou par des stations de mesure isolées et autonomes (stations météorologiques, volcaniques ou polaires).

Chez l'Homme : des radio-marqueurs sous-cutanées, originellement conçus pour la traçabilité des animaux, peuvent sans aucune contrainte technique être utilisés sur des humains.

La société Applied Digital Solutions propose ainsi ses radio-marqueurs sous-cutanés (nom commercial : VeriChip) destinés à des humains, comme une solution pour identifier les fraudes, assurer l’accès protégé à des sites confidentiels, le stockage des données médicales et aussi comme un moyen de résoudre rapidement des enlèvements de personnalités importantes.

Combinés à des capteurs sensibles aux fonctions principales du corps humain, ces systèmes sont aussi proposés comme solution intégrée de supervision de l'état de santé d'un patient.

Une boîte de nuit de Barcelone (Baja Beach Club) utilise des puces sous-cutanées à radiofréquence pour offrir à ses clients VIP une fonction de porte-monnaie électronique implanté dans leur corps même.

La ville de Mexico a implanté cent soixante-dix radio-marqueurs sous la peau de ses officiers de police pour contrôler l’accès aux bases de données et aussi pour mieux les localiser en cas d'enlèvement[23]

Marché des RFID
En 2005, IBM dénombrait 4 millions de transactions RFID chaque jour.

En 2010, ce constructeur évalue à environ 30 milliards le nombre d'étiquettes RFID produites dans le monde et 1 milliard de transistors par être humain[24].

Applications
Applications existantes

Accès aux transports publics (Marseille (carte transpass), Grenoble, Paris (Passe Navigo), Rennes (carte KorriGo), Reims (Carte Grand R et tickets unitaires), Nancy, TER Lorraine, Troyes (Bussé;o), Bruxelles (MoBIB), Montréal, Luxembourg, Strasbourg (Carte Badgé;o), Le Mans (Carte Moovéa), Lyon (Carte Técély)...), Venise (carte imob.venezia).

Télépéages d'autoroutes.

Contrôle des forfaits de remontée mécanique dans les stations de sport d'hiver.

Suivis industriels en chaîne de montage.

Inventaires : Une analyse académique[25] effectuée chez Wal-Mart a démontré que la radio-identification peut réduire les ruptures d’inventaire de 30 % pour les produits ayant un taux de rotation entre 0,1 et 15 unités/jour.

Saisie automatique d’une liste de produits achetés ou sortis du stock.

L’office de tourisme des Hautes Terres de Provence (Alpes-de-Haute-Provence) a créé des promenades où les familles vont de lieux en lieux, en glanant des indices que leur dévoilent de faux rochers, dans lesquels sont dissimulés des haut-parleurs, qui se mettent en marche lorsqu'une puce (collée sur un livret « magique ») en est approchée.

Dans des universités comme Cornell, des cartes à radio-identification permettent aux étudiants de l’université d’accéder sans formalité à la bibliothèque vingt-quatre heures sur vingt-quatre et sept jours sur sept. Les livres sont munis eux aussi de radio-étiquettes, ce qui élimine toute perte de temps administrative lors des emprunts.

Plusieurs bibliothèques sont également équipées aux Pays-Bas, où, depuis le 1er janvier 2004, chaque ouvrage acheté comporte une radio-étiquette (à base d’une puce SLI de Philips).

En France, plusieurs bibliothèques ont elles aussi franchi le pas et s’équipent de matériels de radio-identification (par exemple la bibliothèque des champs libres à Rennes).

Le mouvement est en réelle accélération, en raison du grand intérêt fonctionnel que présente cette technologie pour les bibliothèques et du prix des étiquettes, en baisse perpétuelle.

Antivols utilisés dans les magasins.

La gestion des parcs de Vélib' à Paris et de Velo'v à Lyon, ainsi que de nombreuses autres solutions de Vélopartage et d'autopartage utilisent des puces de radio-identification[26].
De nombreuses épreuves populaires de course à pied (comme le marathon de Paris ou le semi-marathon Marseille-Cassis) ou de cyclisme (Tour de France) ou de roller utilisent des puces de radio-identification fixées sur une chaussure, le cadre, ou le dossard de chaque participant, permettant ainsi le chronométrage individuel lors du passage des lignes de départ et d’arrivée.

Identification de livres pour enfants par le Nabaztag:tag pour téléchargement des livres audio correspondants.

Identification de containers de substances chimiques, de médicaments[27].

Identification de mobilier urbain, jeux publics, d'arbres d'ornement pour maintenance et suivi[28].

Échange de cartes de visites lors d'évènements[29]

Implants corporels[30].

Suivi d'un cheptel : nourriture, lactation, poids[31].


Modifié il y a 10 ans, le dimanche 28 septembre 2014 à 13:44

Photo de sibelius
sibelius il y a 10 ans

Bienvenue dans "le futur" .. et méfiez-vous quand on vous présente un objet comme étant "intelligent" ...

(autant dire : fliquant )

Notamment, les frigos "intelligents" : ne pas le laisser commander à votre place ce que vous devrez manger, etc ...

ni les radios vous imposer un programme ..

Photo de sibelius
sibelius il y a 10 ans

Solénoïde

Un solénoïde (du grec « solen », « tuyau », « conduit », et « eidos », « en forme de1 ») est un dispositif constitué d'un fil électrique enroulé régulièrement en hélice de façon à former une bobine longue.

Parcouru par un courant, il produit un champ magnétique dans son voisinage, et plus particulièrement à l'intérieur de l'hélice où ce champ est quasiment uniforme.

L'avantage du solénoïde réside dans cette uniformité qui est parfois requise dans certaines expériences de physique. Mais il présente aussi des inconvénients : il est plus encombrant que les bobines d'Helmholtz et ne peut pas produire un champ magnétique élevé sans matériel coûteux et système de refroidissement.

C'est au cours de l'année 1820 qu'André-Marie Ampère imagina le nom de solénoïde, lors d'une expérience sur les courants circulaires.

....

Photo de sibelius
sibelius il y a 10 ans

Astuce pratiquée par plusieurs Sociétés, pour éviter les piratages :

Mettre sa Carte bancaire .. ou son téléphone dans une boite en métal, type : boite à biscuit (ou boite à cigare)

Ça fait cage de Faraday.

Photo de sibelius
sibelius il y a 10 ans

Je lis qu'on peut aussi faire une "Cage de Faraday" en enveloppant sa CB dans du papier alu ! Pourquoi pas ?

Photo de sibelius
sibelius il y a 10 ans

Citation de "la-zorra"Citation de "azalee.zoa"merci pour la vidéo.... j'avais vu sur facebook... J'ai tout de suite regardé ma carte bleue....il y a le logo que je n'ai pas demandé!!!
Comme je dois prendre RV avec ma "conseillère", je vais demander à ce qu'on m'en donne une autre, je refuse ce genre de truc.


On peut toujours demander la désactivation , mais il faut batailler dur ! Ils vont ,dans un premier temps vous proposer une pochette sécurité a 0,50 euros ; Évidement, si vous insistez , ils vous la changeront ! Mais , facturée...je l'ai fait faire en juin , après un mois de combat, et , facturée 48,50 euros .

a lire également :
http://www.ufcnancy.org/index.php?reftxt=201206171043



en voici le texte :

Carte bancaire sans contact : Le paiement à distance !
Les banques innovent ! Elles ont inclus dans les cartes le paiement à distance pour les petites sommes ! Nous sommes plus que réservés sur cette novation. Nous publions un dossier complet.

Nancy, le 28/09/2014

L'article publié par CBANQUE fait le point sur la diffusion des cartes de paiement sans contact.

Nous le publions ci-dessous :

http://www.cbanque.com/actu/46747/paiement-sans-contact-comment-les-banques-equipent-leurs-clients-a-marche-forcee

Nancy, le 10/09/2014

L'application Paycardreader est sidérante !

Elle permet la lecture de la carte bancaire équipée de la puce NFC ! Elle s'installe sans souci sur un smartphone !

Elle est très facilement trouvable, gratuite et très efficace !!!

Nous avons asisté à une démonstration qui permet de voir les informations qu'elle collecte...

Si la carte est rangée dans un étui en alumimium, l'application ne fonctionne pas.

Seul obstacle : Il est nécessaire d'être très près de la carte banacire mais si on utilise la carte ou que celle-ci est volée, toutes les données ou presque sont récupérées.

Nous publions un article sur le sujet.

http://www.phonandroid.com/paycardreader-lapplication-qui-collecte-vos-donnees-bancaires.html

Nancy, le 05/09/2014

Nous publions un article du site CBANQUE qui est une bonne approche pour les consommateurs qui ne veulent pas de la puce NFC.

http://www.cbanque.com/actu/46823/comment-desactiver-la-fonction-nfc-de-votre-carte-bancaire

Nancy, le 15/06/2014

Nous avons reçu de la BNP PARIBAS plusieurs informations intéressantes relative au fonctionnent de ces cartes que nous reproduisons ci-dessous :

L'aspect juridique : Le contrat carte bancaire a été modifié pour intégrer cette nouvelle technologie.

Nous reproduisons des extraits des articles 1-1-1 et 6-2 ci-dessous :

Article 1-1-1 : Les cartes disposant de la technologie “sans contact” permettent en outre de régler rapidement des achats de biens ou de prestations de services aux Équipements électroniques “CB” équipés en conséquence, avec une lecture à distance de la carte “CB”, sans frappe du code confidentiel.

Article 6-2 : Ces opérations de paiement sont possibles dans les limites fixées et notifiées par BNP Paribas dans les conditions particulières ou dans tout document approuvé par le Titulaire de la carte “CB” et/ou du compte sur lequel fonctionne la carte “CB”. À des fins sécuritaires, le montant unitaire maximum de chaque opération de paiement en mode “sans contact” et le montant cumulé maximum des règlements successifs en mode “sans contact” sont limités (cf. montants indiqués aux Conditions particulières du contrat Carte). En conséquence, au-delà de ce montant cumulé maximum, une opération de paiement avec frappe du code confidentiel doit être effectuée par le Titulaire de la carte “CB” pour continuer à l'utiliser en mode “sans contact” et réinitialiser le montant cumulé maximum possible. En toutes circonstances, le Titulaire de la carte “CB” doit se conformer aux instructions qui apparaissent sur l'Équipement électronique situé chez l'Accepteur“CB”.
Selon les informations communiquées, cette modification est signifiée au moment du renouvellement de la carte.

Nous reproduisons ci-dessous les conditions générales in-extenso :

Les Conditions Générales de la carte bancaire

Le fonctionnement : Plusieurs autres informations sont communiquées aux clients selon des documents que nous mettons en ligne ci-dessous :

Le sticker :

Le sticker

La plaquette d'explication :

La plaquette de présentation

Il reste deux points importants à préciser :
La BNP PARIBAS s'engage à remplacer gratuitement une carte contenant la puce sans contact par une carte sans.

Pour finir, Vous n'êtes pas obligés d'accepter ce mode de paiement. Le commerçant devrait normalement vous demander votre accord.

Reste la sécurité de la carte. Ce point sera toujours un souci car les hackers ont toujours "un train d'avance"... Ils tentent de trouver une faille. Depuis notre article de juin 2012, la situation s'est améliorée selon le communiqué de la CNIL.

Il est à noter que la banque remboursera les opérations contestées.


Nancy, le 30/05/2014

Nous vous communiquons un dossier adressé par un de nos adhérents. Obtenir une carte bancaire sans la fonction paiement à distance est possible !

Puce NFC : la première lettre de la banque en 2012

Puce NFC : le courrier de notre adhérent en 2012

Puce NFC : la lettre de la banque en 2014

Puce NFC : la lettre de notre adhérent en 2014

Puce NFC : la réponse de la banque.


Nancy, le 14/05/2014

Nous vous communiquons l'avis de la CNIL sur ce mode de paiement. Les demandes sont intéressantes.

Sécurité des cartes bancaires sans contact : quelles sont les avancées et les améliorations possibles ?

Il reste à garder à l'esprit que nous pouvons refuser cette fonctionnalité. La banque a alors l'obligation de vous en délivrer une nouvelle sans puce NFC gratuitement...

Un article publié le 4 mars 2014 sur le site planète.fr est intéressant.

http://www.planet.fr/conso-paiement-sans-contact-nimporte-qui-peut-lire-votre-carte-bancaire-avec-un-portable.564682.1404.html

Cet article du site rue89 est également intéressant.

http://rue89.nouvelobs.com/2013/07/31/payer-carte-sans-code-sans-contact-sans-risque-244508

Nancy, le 09/05/2014

Cette page du site est la plus consultée depuis 18 mois. L'information a du mal à circuler dans les circuits bancaires...
Nous vous tiendrons informés des nouveautés.


Nancy, le 20/08/2012

Suite à la découverte de la présence de la puce NFC dans les cartes bancaires, nous avons obtenu une réponse de la Banque Populaire que nous mettons en ligne. Il semble que le dispositif mis en place soit de nature à permettre l'utilisation de ce nouvel instrument. Nous verrons à l'usage au vu des litiges que nous aurons à gérer.

Les informations de la Banque Populaire

Nancy, le 3 juillet 2012

Carte bancaire avec puce NFC : Comment la découvrir !

Un de nos adhérents ayant renouvelé sa carte bancaire en mai 2012 nous a montré sa carte aux fins de vérifications. Vous n’êtes pas sensés connaitre le symbole du WIFI.

Vous trouverez dans le lien ci-dessous une carte équipée de la puce NFC et la représentation du WIFI :

carte bancaire avec puce NFC ( WIFI ) : un exemple

Sur la carte bancaire reproduite, à côté de la puce classique qui est sur toutes les cartes, vous verrez le même symbole ou presque !
La carte bancaire est devenue trop courante. Lors du renouvellement, on prend le carton et on le met dans le portefeuille sans trop regarder ce qu’il y a dessus…

Dans le cas de notre adhérent, ce petit signe discret n’avait pas particulièrement attiré son attention…

Au vu de la situation, il a demandé l’échange de la carte. La banque a accepté sans problème et sans frais. Il parait qu’il existe un programme qui permet d’avoir une carte sans le WIFI…

Il semble que la Caisse d'Epargne n'ait pas tant innové que cela...

Nous avons également découvert que le Crédit Mutuel Nord Europe s'y était mis aussi !

Toutefois, à la différence de la Caisse d'Epargne qui avertit ses clients, les deux autres établissements bancaires ont semble-t-il oublié de prévenir...

Tous à vos cartes !


Nancy, le 24 juin 2012

Après l'avatar MONEO qui s'est révélé un flop total, la Caisse d'Epargne propose maintenant avec la carte bancaire venant à renouvellement le paiement à distance de petites sommes sans frappe de code à l’aide de la technologie NFC. Nous sommes plus que réservés sur cette novation.

LES FAITS :

Ce nouveau service est gratuit pour tout paiement inférieur à 20 € et peut attendre 80 € avant de renouveler une autorisation.

Nous publions ci-dessous le courrier de la banque :

Le paiement sans contact - Le courrier et Les conditions générales.

Les conditions générales prévoient que les clients de bonne foi peuvent contester les débits dans les délais prévus par le contrat de la carte...


L’ANALYSE JURIDIQUE :

1) Le cadre général de la relation contractuelle :

Cette nouveauté ne sort pas du néant… La législation en la matière est importante.
L’article L312-1-1 du Code Monétaire et Financier née le la loi MURCEF publiée en 2001( Mesures Urgentes à Caractère Economique et Financier ) prévoit en son dernier paragraphe les dispositions suivantes :

« Lorsque l'établissement de crédit est amené à proposer à son client de nouvelles prestations de services de paiement dont il n'était pas fait mention dans la convention de compte de dépôt, les informations relatives à ces nouvelles prestations font l'objet d'un contrat-cadre de services de paiement régi par les dispositions des sections 2 à 4 du chapitre IV du présent titre relatives au contrat-cadre de services de paiement ou d'une modification de la convention de compte de dépôt dans les conditions mentionnées au II du présent article. »

Le II précise les points suivants :
« II.-Tout projet de modification de la convention de compte de dépôt est communiqué sur support papier ou sur un autre support durable au client au plus tard deux mois avant la date d'application envisagée. Selon les modalités prévues dans la convention de compte de dépôt, l'établissement de crédit informe le client qu'il est réputé avoir accepté la modification s'il ne lui a pas notifié, avant la date d'entrée en vigueur proposée de cette modification, qu'il ne l'acceptait pas ; dans ce cas, l'établissement de crédit précise également que, si le client refuse la modification proposée, il peut résilier la convention de compte de dépôt sans frais, avant la date d'entrée en vigueur proposée de la modification. »

Cette obligation d’informer s’impose aussi pour tous les contrats bancaires y compris la convention de compte et les plaquettes des tarifs bancaires qu’il est ainsi possible de contester en cas d’abus manifeste.

2) Le fonctionnement juridique de ce moyen de paiement :

Il est reproduit dans le lien ci-dessous l’article L133-28 :

Article L. 133-28

Il prévoit les dispositions suivantes :
I. ― Un décret définit les montants maximaux de paiement, de dépenses ou de stockage des fonds en dessous desquels les instruments de paiement conçus pour garantir le respect de ces seuils, sont considérés comme réservés aux paiements de faibles montants.

Celui-ci est paru le 29 juillet 2009 sous le numéro 2009-934. Il prévoit les seuils suivants maximum pour être considéré de faibles montants. Il est reproduit intégralement dans le lien ci-dessous :

Le décret 2009-934 du 29 juillet 2009

La partie qui nous intéresse est la section 11 qui prévoit

« Art. D. 133-7.-Un instrument de paiement est considéré comme réservé à des paiements de faibles montants lorsque la convention de compte de dépôt ou le contrat-cadre de services de paiement relatif à cet instrument précise :
« ― qu'il permet de réaliser exclusivement des opérations de paiement ne dépassant pas unitairement 30 euros ;
« ― ou qu'il a une limite de dépenses de 150 euros ;
« ― ou qu'il ne permet pas de stocker plus de 150 euros. »

Toutefois, le législateur a introduit des réserves quant aux éventuels dysfonctionnements et a introduit des limitations particulièrement ennuyeuses pour les utilisateurs en cas de contestation. Il faut donc attentivement lire l’avenant du contrat carte bancaire avant d’accepter celui-ci….

Le II de l’article L. 133-28 du même code prévoit notamment Les disposition suivantes :
II. ― Pour les instruments mentionnés au I, le prestataire de services de paiement peut convenir avec le payeur que :

1° Le payeur ne pourra pas révoquer l'ordre de paiement après l'avoir transmis ou après avoir donné son consentement à l'exécution de l'opération de paiement au bénéficiaire ;

Le 2° et le 3° concernent les bénéficiaires et ne sont pas donc pas commentés dans cet article.

Les 4° et 5° de cet article contiennent des dispositions très ennuyeuses… Elles portent sur des mesures exonérant les banques d’un certain nombre d’obligations imposées sur ce type de moyen de paiement. La carte bancaire permettant le paiement à distance n’est absolument pas sécurisée juridiquement car :

La banque n’est pas tenue de rembourser en cas de contestation ( article L. 133-18 ), que sa responsabilité n’est pas engagée en cas d’utilisation douteuse (I, II et IV de l'article L. 133-19 et l'article L. 133-23 ).

En outre, l’obligation d’informer prévue par l’article L. 133-17 n’est pas obligatoire ! Elle reste à la discrétion de la banque… Le texte légal est vaste ! Il exclut la protection prévue par les II et III de l'article L. 133-15 ( absence d’information et blocage du compte ) , l'article L. 133-17 (opposition en cas de redressement ou liquidation judiciaire ), le III de l'article L. 133-19 et l'article L. 133-20 ( le payeur peut supporter les conséquences financières ! ) peuvent ne pas s'appliquer aux instruments mentionnés au I pour lesquels le prestataire de services de paiement n'a pas la capacité de bloquer le compte ou l'instrument de paiement ;

Pour synthétiser, la banque peut n’avoir aucune obligation si elle estime que c’est frauduleux. Elle peut en outre être déchargée d’un grand nombre d’obligations nées de graves dysfonctionnements ayant imposées des mesures protectrices.

Vous trouverez ci-dessous les différents articles cités dans cette partie de ce dossier spécial qui permettent d’appréhender la situation.

Articles L. 133-15 à L. 133-17

Article L. 133-18

Articles L. 133-19 et L. 133-20

Articles L. 133-23 et L. 133-24

LES RECHERCHES DE L’UFC QUE CHOISIR DE NANCY

Reste le problème de la sécurité réelle qu’offre ce nouveau moyen de paiement. Il est indiqué que ce système est sécurisé. La recherche sur google donne des informations moins rassurantes.


Pour avoir une idée des problèmes que peut poser cette fonction, nous publions deux articles parus sur Internet :

Les sites www.securityvibes et korben.info publient des articles peu rassurants :

http://www.securityvibes.fr/produits-technologies/visa-mastercard-carte-sans-contact>

http://korben.info/les-cartes-bancaires-sans-contact-nfc-ne-sont-pas-securisees.html.com

Le lien ci-dessous explique clairement la situation :

http://www.knowckers.org/2012/05/la-carte-bancaire-sans-contact-n%E2%80%99est-pas-securisee/

Il est fait allusion dans cet article d'un communiqué de presse de la Fédération Française des Télécoms. Nous le publions in extenso car toutes les informations sur un sujet aussi sensible sont importantes.

Le communiqué de la FFT ( Fédération Français des Télécoms )

Nous sommes preneurs de toute information complémentaire qui enrichirait cette partie de notre dossier.

LES SUITES

1) Notre demande :

Nous vous demandons de nous communiquer tous témoignages ou informations sur l’utilisation de ce mode de paiement, que ceux-ci soient positifs ou négatifs. Il s’agit d’un produit nouveau qui n’est pas encore générateur de litiges. Cela nous permettra de connaitre le fonctionnement réel de ce service.

2) Comment gérer ce nouveau type de produit :

La consultation de la page sur le site de la caisse d'Epargne publié dans le lien ci-dessous a permis de constater la présence d'un petit paragraphe in fine qui dit :

La page du site de la Caisse d'Epargne

Nous reprenons la partie qui nous a paru la plus importante ( elle est curieusement en tous petits caractères à la fin de la page... )

"Même si votre carte est équipée de la fonction « paiement sans contact », vous n’avez aucune obligation d’utiliser le service. Si vous ne souhaitez pas activer cette fonctionnalité, vous pouvez également le signaler à votre conseiller avant le renouvellement de votre carte bancaire."

Elle a limité le temps de contestation à celle indiquée sur le contrat carte bancaire que nous vous conseillons de relire. Si vous ne l’avez pas ou que vous l’avez perdu, nous vous conseillons de le demander à votre agence qui doit vous le donner sans discussion.

3) Si vous constatez la présence du symbole WIFI sur votre carte, nous vous demandons de nous informer par mail en nous indiquant le nom de la banque, la date de renouvellement et si cela vous convient, un fichier contenant une photo scannée de cette carte rendue anonyme. A priori, toutes les cartes auront le même symbole mais on ne sait jamais...

Dans l'immédiat, nous ne pensons pas que cette nouvelle fonction présente un grand intérêt.

Nous vous conseillons donc d'envoyer un courrier à la banque indiquant que vous refusez cette fonction.

En cas d'utilisation frauduleuse, prévenez nous le plus rapidement possible.

CONCLUSION

Nous constatons et déplorons que la dématérialisation de l'argent continue...

80 € constitue une belle somme pour nombre de budgets...

Mais au delà de cet aspect, nous devons très régulièrement traité des litiges nés d'opérations contestées sur un laps de temps long ( de une à plusieurs années ) par des consommateurs n'ayant pas eu le temps de vérifier leurs extraits de compte ou empêchés de le faire...

Il est à noter que la CNIL a lancé, selon communiqué en date du 10 mai 2012, une expertise.
Nous publions celui-ci :

Sécurité des cartes bancaires sans contact : expertise en cours

Nous vous conseillons donc de refuser cette possibilité.

Mis à jour le 28-09-2014

Photo de sibelius
sibelius il y a 10 ans

Le lien ci-dessous explique clairement la situation :

http://www.knowckers.org/2012/05/la-carte-bancaire-sans-contact-n%E2%80%99est-pas-securisee/

La carte bancaire sans contact n’est pas sécurisée
14 mai, 2012

En avril 2012, un consultant en sécurité informatique a découvert une incroyable faille dans les cartes bancaires équipées d’une puce de paiement sans contact. Erreur de conception ou contrôle qualité hasardeux… nos données bancaires confidentielles peuvent facilement être piratées et réutilisées sur internet…
Retour sur les faits

Récemment deux grands rendez-vous de la sécurité informatique se sont déroulés à Paris : les “GS Days 2012″ qui est le colloque des “journées francophones de la sécurité” le 3 avril 2012 ainsi que la conférence “Hackito Ergo Sum” qui a regroupé du 12 au 14 avril quatre cents hackers informatiques de 40 nationalités différentes, venus faire le point sur les dernières découvertes dans le domaine de la sécurité informatique.

En ces deux occasions, Renaud Lifchitz, Consultant en sécurité de l’information au sien de BT Global Services (Société informatique internationale de 37 000 collaborateurs présente dans 173 pays qui propose ses services aux grandes entreprises) a pointé du doigt une faille logicielle dans le système des cartes bancaires de paiement sans contact VISA payWave & MasterCard PayPass (utilisant la technologie NFC).

Cette technologie NFC (Near Field Communication) permet de réaliser des achats sans contact entre le moyen de paiement et une machine réceptrice d’informations. Ce type de solution permet donc en principe de faciliter et fluidifier les petites transactions du quotidien (inférieures à 20 euros) en réglant ses achats depuis un périphérique comme une carte bancaire, un Smartphone, une tablette…

Renaud Lifchitz a démontré, à titre personnel comme “défi technique”, comme il est simple de pirater une carte de paiement “sans contact” durant une opération bancaire ou simplement en aspirant ses informations alors qu’elle se trouve dans la poche de son propriétaire.

Il a utilisé une simple clé USB NFC (environ 40 euros) connectée à un ordinateur portable ou bien à un Smartphone afin de capter les communications.

À l’aide d’une petite application développée pour l’occasion, la clé USB se comporte alors comme un terminal de paiement et permet de capter et d’ interpréter le signal émis par la carte placée juste à côté. Ce dispositif a permis de récupérer à distance et d’afficher le nom du porteur, le numéro de la carte (16 chiffres du code PAN), la date d’expiration, ainsi que le détail des 20 dernières transactions sur l’écran de son ordinateur. En outre, les données contenues dans la bande magnétique de la carte bancaire peuvent être également consultées par un éventuel pirate.

En effet, une copie numérique de cette bande est stockée dans la puce qui devient de fait interrogeable par NFC. Ainsi il devient possible de cloner la carte bancaire sans même un lecteur de carte à puce…

Cela sonne mal alors que le marché des NFC est actuellement en pleine expansion

Dans un communiqué de presse du 22 mars 2012, la Fédération Française des Telecom indiquait que les opérateurs investissent dans le déploiement harmonieux des services mobiles sans contact, en France. Le sans contact mobile apparait comme une innovation majeure pour les consommateurs français.

“Cette technologie permet d’offrir aux consommateurs une nouvelle génération de services à portée de main. Le principe de ces services mobiles sans contact est simple : d’un geste de la main, en passant son téléphone mobile sur un lecteur adapté, l’utilisateur peut interagir avec son environnement direct.

Les applications actuellement développées sont extrêmement variées : les collectivités territoriales proposeront des applications autour de la valorisation du patrimoine culturel (informations sur mobile, billetterie,…), de l’éducation, de la santé (identification, traçabilité,…), des loisirs ou encore pour faciliter l’accès aux services publics locaux (bibliothèques, stationnement,…).

D’autres usages vont également rapidement se diffuser, notamment la validation des titres de voyage pour les réseaux de transports publics, mais aussi le paiement de proximité, les programmes de fidélité, voire, à terme, les services à la personne.

500 000 mobiles permettant d’utiliser ces services sont déjà entre les mains de clients français et ce chiffre devrait atteindre 2,5 millions à la fin de l’année. Les opérateurs ont la vocation de diffuser cette technologie à leurs 65 millions de clients sur l’ensemble du territoire français, en accompagnement des collectivités locales.

Le sans contact mobile, un levier de croissance et un enjeu de compétitivité pour la France : la mise en œuvre de nouveaux services de proximité via les mobiles dans neuf territoires (Bordeaux, Caen, Grenoble, Marseille, Mulhouse, Strasbourg Toulon, Toulouse ainsi que le Comité régional du tourisme (CRT) d’Ile-de-France) devrait permettre à l’ensemble des acteurs français d’accentuer leur avance dans un domaine d’activités en plein foisonnement partout dans le monde.

En s’appuyant sur la concrétisation de ces projets et à travers la valeur ajoutée ainsi créée, tous les acteurs impliqués pourront trouver des relais de croissance important pour leurs activités, en France et à l’étranger, ce qui favorisera l’emploi et la compétitivité des industries françaises. Tous les secteurs d’activité peuvent être acteurs de cette révolution technologique, en imaginant et développant avec les opérateurs de nouveaux services sans contact mobile.”

A moins que des problèmes critiques de sécurité ne viennent ralentir ces belles initiatives…

Ce que Renaud Lifchitz a mis en évidence

Le standard international de sécurité EMV (Europay Mastercard Visa) qui est utilisé en France, depuis fin 2006, par le système national des Cartes Bancaires (CB) et l’ensemble du parc des terminaux de paiement électroniques (ou TPE) et qui est supposé garantir :

• interopérabilité internationale (quel que soit l’émetteur de la carte et quel que soit le terminal de paiement)
• vérification et chiffrement de la clé personnelle par la puce

Par sa démonstration, Renaud Lifchitz remet en question le standard EMV qui selon lui aurait été utilisé tel quel via la technologie NFC, sans se poser plus de questions sur la sécurité des échanges entre la carte et le lecteur qui n’est pas cryptée…
Nous avons donc ici une non-conformité aux spécifications techniques internationales PCI DSS* qui exigent, en autre, le chiffrement de la transmission des données des détenteurs de cartes de crédit et de l’information confidentielle par le biais des réseaux publics.

En principe, les cartes de paiement affichant le sigle EMV (Europay Mastercard Visa) sont dotées d’un système de vérification et de cryptage de la clé personnelle par la puce.

Certaines d’entre elles proposent également des moyens d’authentification forte comme le mot de passe unique (OTP, pour One Time Password). Pourtant, certaines cartes compatibles avec le NFC ne proposent pas ce type de sécurisation.

Quelles sont les conséquences possibles ?

Les spécifications EMV ne semblent pas avoir été respectées dans la fabrication des cartes de paiement. Le contre argument avancé par les banques est que d’une part il est impossible d’intercepter les informations au delà d’une dizaine de centimètres et d’autre part, le paiement sans contact est limité pour des petites sommes d’un montant maximum de 20 euros.

Mais de son côté, Renaud Lifchitz a démontré qu’avec du matériel d’environ 2000 euros, il est possible d’intercepter des transmissions de paiement à plusieurs mètres de distance.

En outre, les informations piratées lors d’une transaction sans contact peuvent très facilement être utilisées pour réaliser des transactions d’achat sur internet sans authentification du porteur, c’est-à;-dire partout où le code PIN n’est pas demandé, donc à l’étranger (dans les pays “hors EMV” demandant uniquement le numéro de carte bancaire et la date d’expiration mais pas le cryptogramme des trois derniers chiffres placés au dos de la carte).

Renaud Lifchitz a alerté sa banque qui l’a remercié pour cette information. Mais il n’a pas eu de retour d’autres banques. Seuls les organismes publics : ministère des Finances, ministère de l’Intérieur, ainsi que la CNIL ont été intéressés. Et il communique avec cette dernière “pour mettre en place un protocole”.

Jean-Marc Bornet Administrateur du GIE Cartes Bancaires a été alerté de cette faille. Il explique qu’afin d’éviter les risques de perte de données, le groupement collabore étroitement avec les autorités publiques compétentes et ajoute que désormais, les banques distribuent des étuis capables d’agir comme des cages de Faraday pour empêcher le piratage électronique … En effet, cette cage de Faraday permet au moins de se protéger lorsqu’on n’utilise pas sa carte NFC.

Quelles sont les parades possibles pour le paiement sans contact ?

Pour Armand Heslot Ingénieur expert en systèmes d’information à la CNIL, il existe des solutions assez simples qui pourraient être mises en œuvre :

- l’emploi d’un code PIN différent pour la partie sans contact (Cf. un rapport de l’observatoire de la sécurité des cartes de paiement datant de 2009).

- laisser le contrôle complet de cette partie à l’utilisateur, qui pourra donc choisir de la désactiver (recommandation de la Banque de France).

Renaud Lifchitz indique que pour se protéger la seule solution consiste à utiliser un étui en métal, faisant office de “cage de Faraday” neutralisant ainsi tout rayonnement électromagnétique. Néanmoins, une véritable transmission cryptée est nécessaire. Il explique que “des mesures sont prévues et qu’il suffirait de les activer” d’autant que les cartes sont équipées d’une puce dédiée au cryptage des données…

On peut légitimement s’interroger sur cette faille informatique dans laquelle la protection des données personnelles a été négligée.

S’agit-il d’une erreur de conception ? Les procédures de contrôle qualité ont-elle été bâclées ?

Pour Renaud Lifchitz, les protocoles de sécurisation ont été repris à l’identique des cartes de paiement avec contact, sans adaptation aux contraintes et risques de piratage technique de télécommunication par radio. “La phase d’industrialisation a peut-être été un peu trop rapide…” d’après lui.

Gageons que les différents spécialistes œuvrent très rapidement à la correction de cette faille avant que d’autres acteurs émergents comme les USA ou le Japon ne s’emparent de ce marché en plein développement…

* La norme Payment Card Industry Data Security Standard (PCI DSS) créée conjointement par MasterCard et VISA porte sur la sécurisation des données de détenteurs de cartes de crédit.

Au cours d’une transaction, des données sensibles telles que les numéros de cartes de crédit sont transmises, traitées et parfois conservées pour de brefs instants.

Afin de s’assurer que ces données sensibles sont adéquatement protégées durant toutes les étapes du processus transactionnel, la norme PCI DSS impose, à l’ensemble des acteurs de l’industrie du paiement, l’adoption de mesures de sécurité.

La norme PCI DSS a donc pour objectif de protéger les données reliées à l’utilisation des cartes de crédit.

Pour être conformes, les acteurs de l’industrie du paiement qui conservent, traitent ou transmettent des numéros de cartes de crédit doivent satisfaire aux 12 exigences de bon sens et de sécurité dont “Protéger les données des détenteurs de cartes de crédit” (protéger les données des détenteurs de cartes de crédit stockées et chiffrer la transmission des données des détenteurs de cartes et de l’information confidentielle par le biais des réseaux publics.)

Eric Hansen


Participants

Photo de sibelius Photo de tomdu16