Sécurité des cartes bancaires sans contact  : quelles sont les avancées et les améliorations possibles  ?

In Carnet de veille
Déroulez ici

L’intégration d’une puce NFC dans une carte bancaire pour lui permettre d’effectuer des paiements sans contact est sans conteste une avancée technologique qui va se généraliser et devenir très bientôt la norme. Cette facilité d’utilisation qui en découle répond à  notre besoin d’aller toujours plus vite : à  peine la décision d’achat est faite que le paiement est alors presque déjà  réalisé.

Derrière ces avantages, une faiblesse s’est rapidement révélée : la sécurité. En effet, la facilité de lecture des informations de la cartes a rapidement montré ses limites face aux fraudeurs “sniffeurs”.

image

Faces à  ces nouveaux risques, de nombreux organismes, comme par exemple la CNIL française, se sont publiquement inquiétés et ont cherché à  améliorer la situation. Voici donc une mise à  jour réalisée par cet organisme indépendant en charge de nous aider à  mieux protéger nos données personnelles.

Depuis plus d’un an, la CNIL travaille en collaboration avec les professionnels du secteur bancaire ainsi que la Banque de France sur les risques pour la vie privée présentés par les cartes bancaires sans contact. A cette occasion, elle a fait des propositions pour améliorer la sécurité des données personnelles qu’elles contiennent.

En effet, les tests réalisés pendant l’été 2012 ont permis de constater qu’il était possible de lire, avec un lecteur NFC (near field communication) indépendant ou intégré à  un Smartphone standard, le nom du porteur, la liste des transactions réalisées, ainsi que le numéro de la carte et de sa date d’expiration.

La CNIL a alors engagé un travail avec les industriels du secteur qui a rapidement abouti à  la suppression de l’accès au nom du porteur, pour les cartes émises à  partir de la fin septembre 2012, ainsi qu’à  la suppression de l’accès à  l’historique des transactions pour les futurs modèles de carte qui seront déployées à  partir de fin 2013. Ces évolutions permettent de réduire les risques pour la vie privée des porteurs.

La CNIL reste toutefois préoccupée par l’accessibilité du numéro de carte et de la date d’expiration. Bien qu’à  sa connaissance, aucune fraude exploitant cette accessibilité n’ait encore été détectée, elle appelle le secteur bancaire à  une adaptation constante des mesures de sécurité pour garantir que ces données ne soient pas collectées et réutilisées par des tiers. A ce titre, la mise en Å“uvre des recommandations émises par l’Observatoire de la Sécurité des Cartes de Paiement dès 2007 et 2009 apparaît nécessaire, ainsi qu’à  terme, un chiffrement des échanges rendant tout accès aux données impossible.

via  Sécurité des cartes bancaires sans contact  : quelles sont les avancées et les améliorations possibles  ? – CNIL – Commission nationale de l’informatique et des libertés.

La newsletter