Les dangers du paiement sans contact
Bon, pour avoir bossé sur le sans-contact je vais me permettre d'étaler mon savoir.
Alors oui c'est vraiment aussi simple que ça d'effectuer un paiement avec un TPE. Et le plus impressionnant c'est qu'avec une bonne antenne on peut faire des paiements jusqu'à 20 cm de distance (dans la théorie jusqu'à 2m50 avec beaucoup de budget).
Mais techniquement, pour faire des paiements il faut que votre entreprise soit enregistré au prêt de la banque, le TPE contiendra des certificats qui permettront d'identifier l'entreprise... Donc c'est pas forcément le plus commun d'avoir quelqu'un qui vous fait payer quelque chose à votre insu comme ça.
Par contre !
Il existe des scripts + matériels ou des applis mobiles qui permettent de "discuter" avec la carte. On peut alors récupérer quelques informations : Le nom du propriétaire, le numéro de la carte et la date d'expiration... Pour payer sur internet il ne manque plus que le Cryptogramme qui est imprimé derrière votre carte. Et ce cryptogramme on peut rapidement le "deviner" avec une attaque dite par "force brute" (ou brute-force)... Ce qui veut dire "on test toutes les numéros possible jusqu'à ce que ça passe". (Et le coup des antennes et distance compte aussi pour ça)
Malgré tout, en France, on a une norme un peu différente qui se veut plus sécurisée. Et c'est vrai qu'elle l'est, on ne peut plus simplement lire les données de la carte comme je le dis dans le paragraphe juste au dessus. Mais en "écoutant" les flux entre le TPE et la carte on arrive quand même à chopper ce qu'on veut (au bout de plusieurs écoute)... Ça reste plus compliqué à casser.
Sachez aussi que demander à la banque de bloquer le NFC ne sert à rien pour cette attaque, la banque va juste empêcher les paiements. Demandez plutôt une carte sans le NFC (faut pas que le petit logo soit dessus en général).
Et pour vous protéger, il existe des étuis (et des portefeuilles) avec de l’aluminium qui font office de cage de Faraday et donc vont bloquer le NFC (tant qu'elle est dedans).
La prochaine fois, je vous parlerai des bandes magnétiques.
Ouais moi j'ai gratté le petit logo sur ma carte, comme il apparaît plus, je suis tranquille !
D'ailleurs pour les étuis vous pouvez demander a votre banque de vous en fournir gratuitement en fonction de la banque bien sur
plaît-il ?
L'antenne doit être branché au lecteur. De base ils ont tous une antenne mais pas très puissante (allant en théorie jusqu'à 5/8cm). Mais tu peux changer toi-même l'antenne avec un peu de bidouillage.
Y'avait une vidéo d'un mec y'a plusieurs mois (années ?) qui passait dans un metro avec une valise et il "aspirait" les infos des cartes NFC en passant près des gens. Les normes ont évolué.
Sinon oui comme tu le disais, un petit man in the middle à proximité permet la même chose.
Les banques en France remboursent sans rechigner en cas de fraude parcequ'ils savent que côté sécurité des CB ils sont pas top top.
je suis dégouté de pas avoir eu cette idée plus tôt... Ça m'aurait éviter de récupérer plein d'étuis
yup, UN MitM, mais ça prend du temps avec en plus la lecture de docs.
Et pour les remboursements c'est aussi (surtout ?) que ça leur coûte moins cher de tout rembourser plutôt que de modifier la techno.
Je parlais de l'antenne dans la carte. Il me semblait avoir lu quelque part y a quelques années que l'on pouvait couper sur quelques millimètres la CB pour rendre la RFID inopérante sans abimer la puce ni la bande magnétique.
ah oui en effet, mais la méthode en plus d'être irréversible est plutôt délicate. Foire-toi d'1mm et tu risques de ne plus avoir de CB.
et au lieux de Demandez une carte sans le NFC,bloqué la fonction manuellement via sont compte bancaire en ligne n'ai il pas aussi efficace ?
Woops, j'ai écrit trop vite. J'ai déjà réédité 2/3 fois pour corriger des fautes, on est pas à 2 de plus !
ouai ou sinon, mettre un coup de scie sur l'un des coté sur 5 mm pour couper physiquement l'antenne
Rigole pas, j'ai déjà vu des dealers avec des TPE.
Bon ok c'était à la tv, mais ça compte non ?
Commentaire supprimé.
J'en ai un perso, mais c'est un truc que j'ai acheté en ligne. J'ai pas eu besoin de renseigner mon compte bancaire. Quand je facture via le terminal l'argent arrive d'abord sur "le site" pour ensuite pouvoir le virer sur mon (mes, si j'en ai plusieurs) compte.
Sumup le nom du truc, et t'as souvent des promos pour avoir un terminal à 20€, par contre ils se prennent une bonne com', donc moins rentable que d'en obtenir un auprès de ta banque, mais pratique quand t'as pas le status pro assez "haut" (micro entreprise ?) ou que ça reste des petits paiements occasionnels (ce qui est mon cas).
Pour le "payeur" tu vois sur ton relever de compte l'entité qui reçois le paiement ou le fournisseur du TPE (+ une localisation, comme le département par ex ?). Coter "receveur" je sais pas vraiment, mais pour mon cas (avec sumup, qui fonctionne avec mon téléphone) je vois la localisation et un id de transaction (je vois en aucun cas le nom de la personne, question de sécurité je suppose ?) et l'utilisateur lui verra sumup + n° de la transaction.
C'est ce que je laissais sous entendre ouais. Par contre je suis pas certain que la banque va s'emmerder à attaquer en justice pour 20€ sauf si récidive... J'avoue que je sais pas trop.
Actuellement en Australie, ce pays est vraiment dingue car tout se fait en paiement sans contact, et tout le monde l'utilise de partout (on peut payé jusqu'à 100$ (~60€)) du coup je sais même pas si c'est plus sécurisé qu'en France, mais y'a de quoi se faire du fric en piratant dans ce pays. Sauf que tout le monde il est gentil ici.
