Par Vincent MIGNOT - Publié le vendredi 29 août 2014
http://www.cbanque.com/actu/46823/comment-desactiver-la-fonction-nfc-de-votre-carte-bancaire
Sur le même sujet
- Paiement sans contact : Fortuneo s'ouvre aux cartes bancaires NFC lundi 27 octobre 2014 à 12h16
- Paiement sans contact : Mastercard entend équiper 100% des commerçants en Europe d'ici 2020 vendredi 12 septembre 2014 à 14h39
- Cartes bancaires : le paiement sans contact fait sa pub à la télévision mercredi 9 avril 2014 à 10h36
- Les cartes bancaires sans contact sont aussi sûres que les autres, estime le Groupement CB jeudi 13 mars 2014 à 11h37
- Paiement sans contact : le NFC à un clic des clients de Boursorama lundi 1er juillet 2013 à 17h56
- Les cartes de paiement sans contact NFC sont-elles vraiment sûres ?
- Voir également sur le site
Un chiffre résume le volontarisme des banques françaises en matière de paiement sans contact : entre fin 2011 et fin 2013, le nombre de cartes bancaires équipées de puces NFC a été multiplié par 7, pour atteindre près de 23 millions (38% du parc) en juin dernier. Résultat : un nombre non négligeable de Français ont accès, sans l’avoir toujours demandé, à un service dont la praticité est indéniable, mais dont la sûreté fait débat. Avec un matériel approprié, un hacker peut en effet intercepter, via la puce NFC, les numéros et les dates de validité des cartes présentes dans un rayon de 15 mètres autour de lui. Une brèche qui a amené la Commission nationale Informatique et Libertés (Cnil) à s’intéresser à la question.
Lire à ce propos : La sécurité des cartes NFC reste à améliorer (Cnil)
Les enseignes, sur cette question de la sécurité, sont peu bavardes. Sur les neuf enseignes distribuant des cartes bancaires NFC qui ont bien voulu répondre à nos sollicitations, cinq (La Banque Postale, Axa Banque, le Crédit du Nord, le CIC et Boursorama Banque) ont préféré éluder la question. Les autres (la Société Générale, le Crédit Coopératif, BNP Paribas et le Crédit Agricole) ont affiché leur confiance, reprenant sur ce sujet l’argumentaire fourni par le GIE Cartes Bancaires.
Confiantes dans la sécurité du dispositif, les banques ont néanmoins toutes prévu de permettre à leurs clients les plus réticents de renoncer à cette fonction de paiement sans contact. La Banque Postale fait figure d’exemple en la matière : contrairement à la grande majorité des enseignes, elle n’équipe pas par défaut ses nouvelles cartes de puces NFC, mais propose le paiement sans contact comme une option gratuite.
D’autres enseignes proposent un désactivation à distance de la fonction : c’est le cas par exemple de la Société Générale et de sa filiale de banque en ligne, Boursorama Banque. Chez cette dernière, le paiement sans contact est présent sur les cartes qu’elles distribuent, mais il est désactivé par défaut. « [Les clients] peuvent activer le service ou le désactiver gratuitement en temps réel, en quelques clics, même depuis leur mobile » nous a expliqué son service de presse. Une fois la demande reçue par la banque, « la fonctionnalité est désactivée à distance, au moment où la carte fait un appel au serveur d’autorisation (retrait DAB notamment) », détaille de son côté la Société Générale.
Problème : cette méthode permet de suspendre le service « paiement sans contact », mais elle ne désactive pas physiquement la puce NFC présente dans la carte. Celle-ci continue donc potentiellement d’émettre des informations, qui peuvent toujours être interceptées par une personne mal intentionnée. Une autre solution, plus radicale, consiste donc à demander à sa banque la refabrication d’une carte sans puce NFC. C’est la solution adoptée par BNP Paribas - qui ne facture pas le service dans ce cas de figure -, le CIC, le Crédit Coopératif ou le Crédit Agricole (1).
Entre la désactivation logicielle et la désactivation physique, il existe enfin une solution médiane, plus contraignante : l’étui de carte « anti-NFC », qui empêche le piratage des données contenues dans la puce - sauf évidemment quand on sort sa carte pour payer. Selon un article publié en juin dernier par le site 01net.com, la Banque de France aurait d’ailleurs demandé aux établissements de stocker ce type d’étui, à hauteur de 10% du nombre de cartes NFC en circulation. Une précaution que seule Soon, la banque mobile d’Axa Banque, a évoqué dans ses réponses, expliquant fournir ces étuis « sur simple demande ».
Lire ou relire la première partie de notre enquête : Paiement sans contact : comment les banques équipent leurs clients à marche forcée
(1) Cette dernière enseigne nous a toutefois expliqué travailler sur « une désactivation technique sans changement de carte ».
Par Vincent MIGNOT
© cbanque.com / VM / Août 2014
Comment desactiver le NFC sur une carte bancaire?
Disclaimer: tout ce qui suit dans cet article est presente a des fins informatives. Toute action que vous pourrez entreprendre sera a vos risques et perils, et pourrait endommager votre carte de credit.
Cas
Les grandes banques francaises ont mis en place le NFC, ou « paiement sans contact » pour les marketteux. Les nouvelles cartes de credit, emises depuis fin 2012 apparemment, sont toutes equipees du NFC. Quel est le probleme? Eh bien tout simplement que la mise en place du NFC sur les cartes bancaires n’a pas ete securisee… Il s’agit d’un echec cuisant de la part des societes editrices (Visa, Master Card, etc.), qui n’ont pas ete capables d’entourer leur projet d’un peu de rigueur, technique et fonctionnelle, assurant un minimum de securisation : on ne demande pas non plus un coffre fort, mais juste qu’un quidam dans le metro ne puisse pas chipper les numeros de carte bleue des autres voyageurs.
Plus de details concernant les failles du NFC dans ces liens:
- L’incroyable FAIL des cartes bancaires sans contact (NFC)
- Faut-il refuser catégoriquement les cartes bancaires sans contact ?
- Sécurité des cartes bancaires sans contact : quelles sont les avancées et les améliorations possibles ?
De mon cote, apres avoir joue avec du code librement telechargeable sur le net (comme readnfccc) sur mon telephone (un Nexus S de base avec « lecteur » NFC), la decision a ete claire, nette et immediate: pas de NFC sur ma carte!
J’ai donc informe mon banquier de mon refus il y a quelques mois. Las, lors du renouvellement de ma carte, la nouvelle comportait bien du NFC. J’ai bataille avec mon banquier, et j’ai meme demarre les demarches pour fermer mon compte. Cependant, meme s’il est desactive (Boursorama par exemple le propose), le module NFC sera present sur les cartes de toutes les banques. J’etais donc bien ennuye et j’ai donc refuse d’activer ma carte pendant plusieurs mois.
Trois choix s’offraient alors a moi: capituler en rase campagne, vivre de cheques et d’especes, ou bien faire le travail de messieurs les banquiers et securiser moi-meme ma carte: geek power!
Bobine, induction… Physique du NFC
En resume: la carte bancaire contient une puce NFC (je dirais meme RFID, mais je ne suis pas sur de mon coup), branchee a une bobine electrique plate, egalement integree a la carte bancaire. Lorsque la carte bancaire se trouve soumise a un champ magnetique, un courant est cree par induction (vecteur F = q * produitVectoriel(vecteur vitesse, vecteur champ magnetique)
, d’apres mes souvenirs).
Par consequent, pour desactiver le NFC, il suffit de detruire la puce NFC ou de casser l’induction, en coupant la bobine.
Suppression du NFC
La premiere solution est mentionnee par plusieurs sites americains: en effet, sur les cartes US (le « paiment sans contact » s’y appelle « PayWave »), il n’y a qu’une bande magnetique, et l’emplacement de la puce NFC est visible a l’oeil nu en inclinant la carte: la surface de la carte y est legerement creusee. Il suffit alors de detruire ou retirer la puce NFC, avec un cutteur, un compas, ou tout autre objet tranchant.
Sur une carte francaise cela n’est pas possible: en effet, nos cartes de credit comportent une puce (utilisee pour le paiment chez les commercants) en plus de la bande magnetique (utilisee pour les retraits d’especes en agences). Or, la puce NFC est physiquement superposee a la puce propre a la carte… Donc, a moins d’y aller au microscope, impossible de detruire la puce NFC sans rendre la carte inutilisable pour les achats.
Reste donc la faille de la bobine.
La premiere etape consiste a reconnaitre le parcours de la bobine dans la carte, et identifier un endroit d’incision. Pour cela, se mettre dans le noir complet et utiliser une source de lumiere puissante, type torche. Le flash du Nexus S n’est pas parfait, mais il donne de bons resultats.
La photo suivante donne une idee du parcours de la bobine sur une carte Visa factice delivree par BNP Paribas:
Parcours de la bobine NFC (lien Google+)
Attention! les circuits varient selon les banques, les societes emetrices des cartes, voire meme le type de carte (Electron, classique, Gold, Black).
Il convient donc de couper le circuit en un endroit, quelconque, tout en prenant soin de ne pas toucher a la bande magnetique ni a la puce de la carte.
Dans l’image suivante est representee (en rouge gras) l’incision que j’ai faite a la carte, a l’aide d’une bete paire de ciseaux: du cote droit de la carte, d’une largeur de 10mm, parallelement a la longueur, et a un niveau de 38mm en partant de la base de la carte.
Incision dans la bobine NFC d’une carte de credit (lien Google+)
Pour rappel, une carte de credit standard obeit a la norme ISO-7810 ID-1 et sa taille est de 86mm sur 54mm.
Conclusion
Apres cette operation chirurgicale -n’exagerons pas non plus-, j’ai pu verifier que le NFC etait totalement desactive, mais que les retraits d’especes ainsi que les paiements classiques chez les commercants, c’est-a-dire en assurant un contact physique et en entrant le code PIN, continuaient a fonctionner en France. Pour l’heure, je n’ai teste ni aux USA ni en Inde , mais j’ai bon espoir qu’il n’y ait pas de souci.
Toute personne de tendance paranoiaque en terme de securite informatique pourra egalement calfeutrer sa carte bancaire dans une feuille d’aluminium hermetique, operant l’effet d’une cage de Faraday.
Cela etant, je reste stupefait par l’enorme echec de Visa et Master Card dans la mise en place du NFC. Un tel manquement aux regles de securite elementaires est consternant. Comment peut-on pretendre developper le commerce en laissante beantes de telles failles de securite?
De meme, je reste stupefait de la legerete avec laquelle les banques traitent ce scandale du NFC: il est du ressort des banques de detail de fournir des moyens de paiement un minimum securises. A tout le moins, on aurait attendu des banques qu’elles laissent le choix d’avoir une carte avec ou sans NFC, et non d’imposer d’office un choix plus que contestable. Ce n’etait pas a moi de securiser ma carte, c’etait a ma banque de m’en fournir une suffisamment blindee ; de plus, je doute de la capacite de Mme Michu d’effectuer les memes operations que moi.
Bref: carton rouge pour toutes les institutions impliquees dans la diffusion des cartes NFC!