S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

La CNIL officialise son enquête sur les cartes de paiement NFC

Rech. sécu. infos. perso.

Fin avril, nous relations les découvertes de l’ingénieur Renaud Lifchitz sur les cartes de paiement sans contact. Plusieurs problèmes de sécurité étaient soulevés et la CNIL nous avait confirmé travailler sur ce dossier. Ses tests ont avancé à grands pas : la Commission vient d’officialiser l'ouverture de son enquête.

visa contact crédit paiement
Source de l'image : Renaud Lifchitz

Dans notre article du 24 avril, plusieurs problèmes de sécurité étaient décrits par Renaud Lifchitz. Le souci principal vient des données émises par les ondes de la puce NFC (Near Field Communication). Celles-ci peuvent être captées par un appareil adapté, ou simplement par un smartphone équipé d’une telle puce ou une clé USB. L’autre grand problème est qu’une copie numérique de la bande magnétique est stockée dans la puce de la carte de paiement et on peut donc y accéder par les ondes.

Devant les constats réalisés par Lifchitz, la CNIL s’est intéressée au problème. Armand Heslot, ingénieur au service expertise de la Commission, se montrait alors très prudent mais nous confirmait en partie ces soucis de sécurité : « Tout ce que nous pouvons dire à ce stade, et qui est corroboré dans une certaine mesure par la documentation technique qui nous a été fournie, est qu’il n’y a pas de chiffrement des données». Un constat qui engendrait alors deux risques : « une compromission des transactions bancaires, ainsi qu’un risque dans le traitement des données personnelles ».

La CNIL a décidé d’officialiser son enquête en publiant sur son site officiel un message en ce sens. La Commission indique mener des « investigations techniques » suite à « plusieurs articles de presse relatifs à la sécurité des cartes bancaires sans contact ». L’organisme cherche en outre à évaluer les conséquences « en termes d'impact sur la vie privée des porteurs de carte ».

Comme nous l'indiquons dans notre actualité précédente, la loi rend obligatoire la sécurisation des traitement de données personnelles. Armand Heslot théorisait alors une intervention de la CNIL pour « contrôler les établissements bancaires afin de savoir si le traitement des données est conforme à la loi ». En cas d’un tel contrôle, la Commission pourra réclamer une mise en demeure de conformité, voire un arrêt du traitement.
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 11/05/2012 à 09:38

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 21 commentaires

Avatar de Vindev_HELL84 INpactien
Vindev_HELL84 Le vendredi 11 mai 2012 à 09:55:56
Inscrit le mardi 3 janvier 06 - 6954 commentaires
pffff belle connerie que ces cartes NFC .... les gens sont donc trop fainéants pour rentrer leur carte dans un appareil et taper leur code?
Avatar de CUlater INpactien
CUlater Le vendredi 11 mai 2012 à 09:57:35
Inscrit le jeudi 17 juin 10 - 1622 commentaires
pffff belle connerie que ces cartes NFC .... les gens sont donc trop fainéants pour rentrer leur carte dans un appareil et taper leur code?
Quoi?! Il faut se trimbaler avec une carte?!
Avatar de abitbool INpactien
abitbool Le vendredi 11 mai 2012 à 10:01:19
Inscrit le vendredi 17 juillet 09 - 1607 commentaires
Rech. sécu. infos. perso.


Rech.proj.pr.proj.priv.self-def.dem.brut.poss.S'adr.à.l'hôt.Mar. Et plus si affinités.

Edité par abitbool le vendredi 11 mai 2012 à 10:01
Avatar de nikon56 INpactien
nikon56 Le vendredi 11 mai 2012 à 10:19:34
Inscrit le lundi 2 juillet 07 - 5687 commentaires


Rech.proj.pr.proj.priv.self-def.dem.brut.poss.S'adr.à.l'hôt.Mar. Et plus si affinités.

Avatar de coucou_lo_coucou_paloma INpactien
coucou_lo_coucou_paloma Le vendredi 11 mai 2012 à 10:24:55
Inscrit le jeudi 9 décembre 04 - 9141 commentaires


Rech.proj.pr.proj.priv.self-def.dem.brut.poss.S'adr.à.l'hôt.Mar. Et plus si affinités.

J'ai eu le même réflexe.



Edité par coucou_lo_coucou_paloma le vendredi 11 mai 2012 à 10:25
Avatar de Bill2 INpactien
Bill2 Le vendredi 11 mai 2012 à 10:25:16
Inscrit le mardi 6 mai 03 - 2123 commentaires


Rech.proj.pr.proj.priv.self-def.dem.brut.poss.S'adr.à.l'hôt.Mar. Et plus si affinités.


Chui hyper content :vomi:
Avatar de Amethyste INpactien
Amethyste Le vendredi 11 mai 2012 à 10:55:08
Inscrit le mardi 20 novembre 07 - 4191 commentaires
Faudrait que la CNIL sorte un peu les couilles et les pose sur la table !
"Alors , on regarde, on teste, on fait des analyses techniques blablabla"

Pourquoi ne pas dire franchement : cette technologie pue du c** , elle est openbar pour la capture des données, c'est une merde infame!
Avatar de Spidard INpactien
Spidard Le vendredi 11 mai 2012 à 11:17:55
Inscrit le vendredi 6 juillet 07 - 2038 commentaires
J'ai reçu ma CB ya quelques jours, et après avoir lu un article sur korben http://korben.info/les-cartes-bancaires-sans-contact-nfc-ne-sont-pas-securisees.... ) sur ce thème. J'ai donc appellé ma banquière hier pour exiger une CB traditionnelle sans NFC.Ah ben c'est un beau discours commercial et sidérant...
"Mais monsieur il n'y a aucun risque, c'est juste pour des petits paiements de 20€ max"
"ah bon ? pourtant des tests ont démontrer qu'on pouvait récupérer le N°, la date et le CVV, 3 seules infos pour payer sur le net. et la par contre, c'est pas pour 20€"
"heu... ben... heu... jvai voir, mais il me semble qu'on n’envoie plus que ce type de carte désormais"

Je sens que je vais placer mes sous ailleurs. Et ça me courte moins cher qu'un porte-monnaie en plomb
Avatar de Amethyste INpactien
Amethyste Le vendredi 11 mai 2012 à 11:38:49
Inscrit le mardi 20 novembre 07 - 4191 commentaires
Comme toi, Spidard, ma carte se renouvelle bientôt => Mail à la banquière
Avatar de coucou_lo_coucou_paloma INpactien
coucou_lo_coucou_paloma Le vendredi 11 mai 2012 à 11:47:18
Inscrit le jeudi 9 décembre 04 - 9141 commentaires
Certaines banques renouvellent (sans prévenir) la carte bancaire avant la date d'échéance pour la remplacer par une dotée du NFC...

Edité par coucou_lo_coucou_paloma le vendredi 11 mai 2012 à 11:47
;