NFC: utilisé par tous, protégé par personne

Depuis plusieurs d’années, on voit apparaître la possibilité d’utiliser des services à l’aide de cartes sans contact. La plus connues, la carte bancaire NFC, arbore un jolie logo sur le coté afin de vous signifier qu’il n’est plus besoin de sortir votre carte de votre portefeuille pour payer. Un simple mouvement vers le lecteur, et hop, voila la transaction effectuée.
On retrouve cette technologie également sur beaucoup de produits divers et variés. La clé ou carte de votre machine à café de bureau, votre carte de lavage automatique, votre badge d’entrée d’immeuble, votre carte d’accès parking, etc….

cartes NFC

L’intérêt d’une puce NFC est qu’elle est capable de transporter des informations. Informations que la machine pourra faire évoluer en fonction de votre utilisation:
Quelles sont les portes de l’immeuble que vous pouvez ouvrir. Combien de lavages de voiture vous reste t-il. Ou le solde disponible pour le distributeur de boisson. On pourrait même imaginer qu’elles puissent être toutes regroupées dans une seul et même carte, mais là n’est pas le sujet.

Cette technologie pourtant très prometteuse, s’est vite retrouvée sous le feu de plusieurs chercheurs en sécurité, car très facilement piratable.

La principale technologie

La première version, dite « MIFARE classic » est encore la plus répandue. Elle souffre d’une faille de sécurité sur les clés permettant l’accès en lecture et écriture aux données. Il est possible de deviner ces clés de protection et donc de modifier comme l’on souhaite les données contenues dans la puce. Le problème est que malgré le fait que cette faille ait été présenté en 2007, nombreux sont les sociétés utilisant encore cette technologie. Il est également très simple de retrouver sur des forums les clés génériques de sécurisation de ces puces, classées par entreprise. Un simple lecteur NFC et quelques logiciels permettent de les découvrir si vous ne les avez pas. Ils permettent également de modifier les données contenues dans l’espace mémoire.
Depuis, des versions proposant des systèmes améliorant la sécurité de cette technologie sont apparus. Mais comme toujours, avec le bon matériel et le savoir faire, ces sécurités ne tiennent jamais très longtemps.

Communication

On trouve de plus en plus de TAG NFC qui embarquent la technologie NDEF (NFC Data Exchange Format). Ce protocole de communication permet de laisser une information à un endroit afin qu’elle puisse être lue par la suite par d’autres personnes. Cette information peut être de la forme URL, carte de visite, texte, numéro de téléphone. De nos jours, l’ensemble des téléphone ayant un lecteur NFC peuvent lire ces TAG.Tag NFC Borne parkingIl n’est pas rare de trouver ces TAG qui ne sont pas protégés. Là encore, la technologie a été utilisé sans prendre en compte la sécurité de l’information que l’on met à disposition. Il faut savoir que ces TAG pour certains, peuvent être protégés par mot de passe. il est même possible de les rendre « non modifiable ». Et pourtant, une simple lecture avec un logiciel sous Android (NXP TagWriter) permet de s’apercevoir qu’aucune sécurité n’est mise en place et qu’il est possible de modifier l’information d’un simple tapotage sur l’écran de son téléphone. De l’installation d’un logiciel malveillant, à l’appel vers un numéro surtaxé au lieu du véritable numéro, tout est possible.

Que ce soit pour nos cartes bancaires, aux objets IOT, le NFC est de plus en plus présent. Cependant, le choix de la technologie utilisée et la sécurité à appliquer passent régulièrement au second plan. Il faudrait peut être faire tester ces produits de façon plus poussée par de gentils hackers avant de les mettre en service 😉

Sébastien

Ingénieur pour l'aviation civile. Passionné d'informatique. Curieux des nouvelles technologies et de la cyber-sécurité.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *