Fin avril, nous relations les découvertes de l’ingénieur Renaud Lifchitz sur les cartes de paiement sans contact. Plusieurs problèmes de sécurité étaient soulevés et la CNIL nous avait confirmé travailler sur ce dossier. Ses tests ont avancé à grands pas : la Commission vient d’officialiser l'ouverture de son enquête.
Dans notre article du 24 avril, plusieurs problèmes de sécurité étaient décrits par Renaud Lifchitz. Le souci principal vient des données émises par les ondes de la puce NFC (Near Field Communication). Celles-ci peuvent être captées par un appareil adapté, ou simplement par un smartphone équipé d’une telle puce ou une clé USB. L’autre grand problème est qu’une copie numérique de la bande magnétique est stockée dans la puce de la carte de paiement et on peut donc y accéder par les ondes.
Devant les constats réalisés par Lifchitz, la CNIL s’est intéressée au problème. Armand Heslot, ingénieur au service expertise de la Commission, se montrait alors très prudent mais nous confirmait en partie ces soucis de sécurité : « Tout ce que nous pouvons dire à ce stade, et qui est corroboré dans une certaine mesure par la documentation technique qui nous a été fournie, est qu’il n’y a pas de chiffrement des données». Un constat qui engendrait alors deux risques : « une compromission des transactions bancaires, ainsi qu’un risque dans le traitement des données personnelles ».
La CNIL a décidé d’officialiser son enquête en publiant sur son site officiel un message en ce sens. La Commission indique mener des « investigations techniques » suite à « plusieurs articles de presse relatifs à la sécurité des cartes bancaires sans contact ». L’organisme cherche en outre à évaluer les conséquences « en termes d'impact sur la vie privée des porteurs de carte ».
Comme nous l'indiquons dans notre actualité précédente, la loi rend obligatoire la sécurisation des traitement de données personnelles. Armand Heslot théorisait alors une intervention de la CNIL pour « contrôler les établissements bancaires afin de savoir si le traitement des données est conforme à la loi ». En cas d’un tel contrôle, la Commission pourra réclamer une mise en demeure de conformité, voire un arrêt du traitement.
Source de l'image : Renaud Lifchitz
Dans notre article du 24 avril, plusieurs problèmes de sécurité étaient décrits par Renaud Lifchitz. Le souci principal vient des données émises par les ondes de la puce NFC (Near Field Communication). Celles-ci peuvent être captées par un appareil adapté, ou simplement par un smartphone équipé d’une telle puce ou une clé USB. L’autre grand problème est qu’une copie numérique de la bande magnétique est stockée dans la puce de la carte de paiement et on peut donc y accéder par les ondes.
Devant les constats réalisés par Lifchitz, la CNIL s’est intéressée au problème. Armand Heslot, ingénieur au service expertise de la Commission, se montrait alors très prudent mais nous confirmait en partie ces soucis de sécurité : « Tout ce que nous pouvons dire à ce stade, et qui est corroboré dans une certaine mesure par la documentation technique qui nous a été fournie, est qu’il n’y a pas de chiffrement des données». Un constat qui engendrait alors deux risques : « une compromission des transactions bancaires, ainsi qu’un risque dans le traitement des données personnelles ».
La CNIL a décidé d’officialiser son enquête en publiant sur son site officiel un message en ce sens. La Commission indique mener des « investigations techniques » suite à « plusieurs articles de presse relatifs à la sécurité des cartes bancaires sans contact ». L’organisme cherche en outre à évaluer les conséquences « en termes d'impact sur la vie privée des porteurs de carte ».
Comme nous l'indiquons dans notre actualité précédente, la loi rend obligatoire la sécurisation des traitement de données personnelles. Armand Heslot théorisait alors une intervention de la CNIL pour « contrôler les établissements bancaires afin de savoir si le traitement des données est conforme à la loi ». En cas d’un tel contrôle, la Commission pourra réclamer une mise en demeure de conformité, voire un arrêt du traitement.
