Le paiement sans contact se démocratise de plus en plus que ce soit par les cartes de crédits et débits que l’on tape sur le terminal de paiement ou via le téléphone cellulaire. En effet, les principaux systèmes d’exploitation mobiles offrent des applications permettant d’ajouter une carte pour effectuer un paiement sans contact. Il est facile de finaliser nos achats avec ces méthodes, mais il faut toutefois être conscient que ces nouvelles technologies nous exposent à de nouveaux risques. Regardons celles-ci plus en détail.
Tout d’abord, les cartes physiques (débit ou crédit) possèdent une puce qui utilise les protocoles Radio Frequency Identification (RFID) et Near-Field Communication (NFC) afin de transmettre les informations de paiement. Le RFID et le NFC sont utilisés respectivement pour conserver et transmettre des données et de partager les informations sur de courte distance, quelques centimètres tout au plus.
La puce contient une antenne qui va s’activer lorsqu’elle est près d’un terminal et envoyer les informations nécessaires au paiement. On dit qu’elle est en mode passif, car elle est en dormance jusqu’au moment où un terminal est près et dès lors s’active. Les données transmises sont chiffrées, mais peuvent tout de même être interceptées.
Au niveau des portefeuilles numérique ou digital, on dit que la carte de paiement est émulée lorsqu’elle est enregistrée dans l’application de paiement. Le principe est le même que pour une carte physique, le téléphone doit être proche du terminal de paiement pour que les informations soient envoyées.
Toutefois, même si le système est somme toute sécuritaire, il n’est pas à toute épreuve. Le défaut avec les cartes physiques est qu’elles vont transmettre les informations dès qu’un terminal lui envoie le signal de s’activer. Il n’y a aucun mécanisme pour vérifier si le terminal est légitime ou non. Des équipes de recherche en cybersécurité ont démontré des preuves de concepts où les données pouvaient être interceptées en étant près des cartes à puces. De plus, le chiffrement utilisé est symétrique, c’est-à-dire que la même clé est utilisée pour tous les terminaux. Si un acteur malicieux obtient la clé de chiffrement, il sera capable de lire les données de toutes les cartes qui vont avoir transmis leurs informations. Encore une fois, des preuves de concepts ont démontré que le titulaire de la carte, la date d’expiration ainsi que le numéro de carte pouvaient être déchiffrés.
Les applications mobiles de paiement ont mitigé ces risques via l’authentification et le concept du jeton. Tout d’abord, la plupart des applications vont exiger l’authentification du payeur via le PIN, l’empreinte digitale ou la reconnaissance faciale avant de compléter le paiement. Ensuite, les informations de paiement vont être inscrites dans un jeton qui ne peut être utilisé qu’une seule fois et ce jeton sera transmis au terminal de paiement qui le décodera pour obtenir les véritables informations.
Il ne faut pas oublier que les institutions financières ont mis en place des sommes maximales pour les transactions de paiement sans contact. S’il y a fraude, ce sera pour des montants plutôt modestes.
En conclusion, le paiement sans contact est certainement là pour rester donc aussi bien comprendre le fonctionnement et les limites de cette technologie.
Par Simon Benoît
Consultant en cybersécurité
