image d'un paiement sans contact

Les cartes bancaires sans contact et la confidentialité des données

Le paiement sans contact est une fonction disponible sur plus de 60% des cartes bancaires en circulation. Les données bancaires étant des éléments sensibles, elles doivent naturellement être protégées.

Est-ce vraiment le cas ?

Evolution du paiement sans contact

Cette fonctionnalité est apparue en France aux alentours de 2012. Depuis, elle n’a cessé de se développer. Selon le GIE Cartes bancaires, 44,9 millions de cartes bancaires sans contact étaient en circulation en septembre 2017, soit 68% du parc français.

données GIE Bancaire sur l'usage des cartes sans contact
(source : GIE Cartes Bancaires)

Dans son bilan 2016 (PDF, page 11), ce même GIE déclare que 605 millions de paiements ont été réalisés via du sans contact. Si ce chiffre semble énorme, l’évolution de ce dernier l’est encore plus : +158% de paiements par rapport à 2015, et la tendance ne faiblit pas.

Le paiement sans contact est fait pour des petites transactions, celles de « la vie quotidienne », le montant des échanges étant plafonné à maximum 30€ depuis octobre 2017.

Fonctionnement du paiement sans contact

Le principe est relativement simple, la personne détentrice d’une carte sans contact souhaite payer sa transaction (inférieure à 30€ donc), elle pose sa carte à quelques centimètres du terminal de paiement sans contact et « paf », c’est réglé.

Le paiement sans contact est basé sur la technologie NFC, ou Near Field Communication (communication en champ proche) via une puce et un circuit faisant office d’antenne, intégrés à la carte bancaire.

Le NFC est caractérisé par sa distance de communication, qui ne dépasse pas 10 cm avec du matériel conventionnel. Les fréquences utilisées par les cartes sans contact sont de l’ordre de la haute fréquence (13,56 MHz) et peuvent utiliser des protocoles de chiffrement et d’authentification. Le pass Navigo, les récents permis de conduire ou certains titres d’identité récents utilisent par exemple de la NFC.

Si la technique vous intéresse, je vous invite à lire en détail les normes ISO-14443A standard et la norme ISO 7816, partie 4.

Paiement sans contact et données personnelles

On va résumer simplement le problème : il n’y a pas de phase d’authentification ni de chiffrement total des données. En clair, cela signifie que des informations relativement sensibles se promènent, en clair, sur un morceau de plastique.

De nombreuses démonstrations existent çà et là, vous pouvez également trouver des applications pour mobile qui vous permettent de récupérer les informations non chiffrées (votre téléphone doit être compatible NFC pour réaliser l’opération).

exemple application lecture carte bancaire

Pour réaliser l’opération, avec du matériel conventionnel, il faut être maximum à quelques centimètres de la carte sans contact, ce qui limite fortement le potentiel d’attaque et interdit, de fait, une « industrialisation » de ces dernières.

Cependant, avec du matériel plus précis, plus puissant et plus onéreux, il est possible de récupérer les données de la carte jusqu’à 1,5 mètre et même plus avec du matériel spécifique et encore plus onéreux (il est question d’une portée d’environ 15 mètres avec ce genre de matériel). Un attaquant doté de ce type d’équipement peut récupérer une liste assez impressionnante de cartes, puisqu’elles sont de plus en plus présentes… problématique non ?

En 2012, le constat était plus alarmant qu’aujourd’hui, puisqu’il était possible de récupérer le nom du détenteur de la carte, son numéro de carte, sa date d’expiration, l’historique de ses transactions et les données de la bande magnétique de la carte bancaire.

En 2017… il est toujours possible de récupérer le numéro de la carte, la date d’expiration de cette dernière et, parfois, l’historique des transactions, mais nous y reviendrons.

Que dit la CNIL sur le sujet ?

J’ai demandé à la CNIL s’il fallait considérer le numéro de carte bancaire comme étant une donnée à caractère personnel, sans réponse pour le moment. J’éditerai cet article lorsque la réponse arrivera.

Si le numéro de carte bancaire est une donnée à caractère personnel, alors le fait qu’il soit disponible, et stocké en clair, me semble problématique, cela ne semble pas vraiment respecter la loi informatique et libertés.

En 2013, cette même CNIL a émis des recommandations à destination des organismes bancaires, en rappelant par exemple l’article 32 et l’article 38 de la loi informatique et libertés. Les porteurs de carte doivent, entre autres, être informés de la présence du sans contact et doivent pouvoir refuser cette technologie.

Les paiements sans contact sont appréciés des utilisateurs car ils sont simples, il suffit de passer sa carte sur le lecteur. Ils sont préférés aux paiements en liquide et certains vont même jusqu’à déclarer que « le liquide finira par disparaître dans quelques années ». Son usage massif fait que votre organisme bancaire vous connaît mieux, il peut maintenant voir les paiements qui lui échappaient avant, lorsque ces derniers étaient en liquide.

La CNIL s’est également alarmée, dès 2012, des données transmises en clair par les cartes en circulation à l’époque. Ainsi, il n’est plus possible de lire le nom du porteur de la carte, ni, normalement, de récupérer l’historique des transactions… ce dernier point étant discutable dans la mesure où, pas plus tard que la semaine dernière, j’ai pu le faire avec une carte émise en 2014.

Comme expliqué précédemment, il est encore possible aujourd’hui de récupérer le numéro de carte ainsi que la date d’expiration de cette dernière.

Dans le scénario d’une attaque ciblée contre un individu, obtenir son nom n’est pas compliqué. Le CVV – les trois chiffres indiqués au dos de la carte – peut être forcé, il n’existe que 1000 combinaisons possibles, allant de 000 à 999.

Si la CNIL a constaté des améliorations, elle n’est pas rassurée pour autant. En 2013, elle invitait les acteurs du secteur bancaire à mettre à niveau leurs mesures de sécurité pour garantir que les données bancaires ne puissent pas être collectées ni exploitées par des tiers.

Elle espère que ce secteur suivra les différentes recommandations émises [PDF, page 3], notamment par l’Observatoire de la Sécurité des Cartes de Paiement, quant à la protection et au chiffrement des échanges. Les premières recommandations datent de 2007 [PDF], mais malheureusement, dix ans après, très peu de choses ont été entreprises pour protéger efficacement les données bancaires présentes dans les cartes sans contact.

S’il existe des techniques pour restreindre voire empêcher la récupération des données bancaires via le sans contact, le résultat n’est toujours pas satisfaisant, le numéro de carte est toujours stocké en clair et lisible aisément, les solutions ne garantissent ni un niveau de protection adéquat, ni une protection permanente.

Une solution consiste à « enfermer » sa carte dans un étui qui bloque les fréquences utilisées par le NFC. Tant que la carte est dans son étui, pas de risques… mais pour payer, il faut bien sortir ladite carte, donc problème.

L’autre solution, plus « directe », consiste à trouer – physiquement – sa carte au bon endroit pour mettre le circuit de la carte hors service. Attention cependant, votre carte bancaire n’est généralement pas votre propriété, vous louez cette dernière à votre banque, il est normalement interdit de détériorer le bien de votre banque.

DCP ou pas DCP ?

J’en parlais précédemment : est-ce que le numéro de carte bancaire constitue à lui seul une donnée à caractère personnel, ou DCP ?

Cela semble un point de détail mais je pense que c’est assez important en réalité. Si c’est effectivement une DCP, alors le numéro de carte bancaire doit, au même titre que les autres DCP, bénéficier d’un niveau de protection adéquat, exigence qui n’est actuellement pas satisfaite.

Si vous avez la réponse, n’hésitez pas à me contacter ou à me donner quelques références.

13 thoughts on “Les cartes bancaires sans contact et la confidentialité des données”

  1. Le problème principal est que les banques ne demandent même plus aux clients leurs avis. Bim,, tu reçois une nouvelle carte NFC sans qu’on te demande si tu en veux… Pour le moment ma carte n’est pas NFC et dés qu’on me propose de régler sans contact, je rouspète et explique que niveau sécurité, c’est 0.

    1. Le process varie selon les banques, en réalité. J’en connais au moins une qui ne le fait pas par défaut et une autre qui te demande si tu souhaites l’avoir ou non. Pour les autres effectivement, c’est de base et on ne peut que se contester la décision en échangeant directement avec la banque.

    1. Oui, c’est vrai.
      Et c’est magnifique. Pourquoi ? parce que ce qu’ils font, c’est qu’ils te désactivent dans leur système informatique la possibilité de payer avec ta carte NFC.
      Tu te retrouve donc avec une magnifique carte sans contact qui balance tes infos à qui les demandes, et tu peux même plus payer avec !
      Bref, c’est de l’enfumage. La seule option valable est de demander une carte sans le sans contact. Pour cela, il faut réussir à se faire comprendre du conseiller (j’ai souvent entendu comme réponse à ma demande : « mais votre carte est déjà sans contact »), et que votre banque le permette. A la caisse d’épargne, malgré plusieurs demandes insistantes, ils m’ont soutenu que les carte sans le sans contact n’existaient plus, qu’elles n’étaient plus fabriqués ! Ce à quoi je répondais que mon autre banque me fournit toujours des cartes sans le sans contact… Mais en vain.
      Du coup j’ai acheté un portefeuille qui bloque les ondes.

      1. Il faudrait vérifier, mais normalement ta banque est dans l’obligation de te proposer d’autres moyens. Perso je suis dans une autre banque, qui a tenté de me faire la même et je n’ai rien lâché, j’ai même terminé en faisant une démo à la directrice de l’agence, qui a fini par comprendre le problème et par commander deux nouvelles cartes sans NFC, une pour elle et une pour moi 😀

        1. Je sais plus quel article du code de consommation + article 32 de la loi info et libertés : OBLIGATION pour les banques de fournir du non-NFC, sinon elle est en tort.

          Ca c’est la théorie… en pratique c’est la banque qui va te virer si t’insistes trop pour ne pas en vouloir et qu’elle est plutôt radicale dans sa façon de traiter ses « clients ».

          1. Est-il possible d’avoir le lien vers l’article ? Parce qu’auprès d’un service client et/ou juridique, ce qu’il faut, c’est de la précision, sinon, on passe pour un guignol :/ Et ça m’intéresse fortement d’avoir une carte sans NFC.

          2. Hello, bizarre, je n’ai pas pu te répondre directement :/

            Donc, il semble qu’il y ait erreur sur les informations transmises par EDGE, précédemment. L’art. 32 parle de l’obligation d’informer, mais ne fait nullement référence à un point précis sur le NFC. Dans ses déclarations, la CNIL indique que les banques doivent t’informer que la carte pourra disposer d’une fonction de paiement sans contact. Il faut donc te référer à ton contrat ou aux courriers de ta banque, voire aux mails, pour retrouver trace d’une telle information.

            Les banques sont, de mémoire, libres de te donner un droit d’opposition. Elles doivent te permettre de le faire, mais les modalités sont à leur guise : soit une carte sans NFC, soit une carte avec NFC désactivé (mais la carte émet toujours, c’est seulement le paiement en NFC qui est désactivé). Tu peux éventuellement contacter la CNIL pour obtenir davantage d’informations sur le sujet.

    2. Bonjour, merci pour ce commentaire, cependant, la désactiver ne change pas le problème : désactiver la fonction revient à interdire de payer en sans contact mais ne désactive pas la capacité d’émission de la carte, si elle est activée par un contrôleur actif. Pour l’avoir testé directement, il est toujours possible de récupérer les données de la carte et ce même si le sans contact est désactivé.

  2. Pour ce qui est de savoir si la carte est une donnée personnelle, je dirais que … cela dépend.

    En effet, le Règlement Général de Protection des Données (2016/679) dispose que sont des données personnelles sont « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;  »

    Donc de deux choses l’une:
    – soit la carte n’est pas associée à une personne physique (cas des cartes logées par exemple, mais c’est une minorité) et dans ce cas-là, il n’y a pas moyen de soutenir que c’est une donnée personnelle;
    – soit la carte est associée à une personne physique, et alors, il est possible d’identifier cette personne à partir de son numéro, et alors je ne vois pas comment on peut écarter la qualification de donnée personnelle.

    1. Que cela soit dans le prochain règlement ou dans l’actuelle loi informatique et libertés, la définition d’une donné personnelle, ou DCP, ne change que très peu, voire pas en fait.

      Je rejoins votre point de vue sur la qualification du numéro de carte en DCP. Dans la mesure où la grande majorité des cartes sont attachées à la personne détentrice du compte, c’est une donnée associée à une personne physique, et il est possible de la relier à une identité.

      Le point que j’ai du mal à comprendre, en partant de ce constat, est le suivant : comment est-il possible qu’une DCP soit aussi peu protégée et que la CNIL ne s’agace pas plus que ça du problème ?

      S’il est récupéré par un moyen détourné (une autre personne que le commerçant et dans d’autres finalités que le paiement d’une prestation), alors le numéro de carte ne permet pas de retrouver l’identité d’une personne physique, peut-être est-ce point qui fait que la CNIL ne s’énerve pas ?

      M’enfin, il n’en reste pas moins que peu importe le cadre (formel ou détourné), une DCP reste une DCP, on ne la qualifie pas selon si elle est chiffrée ou non, selon si on peut la voler ou non, selon le contexte dans lequel elle est présente et utilisée, …

  3. A partir du moment ou un juge a reconnu qu’une adresse IP, qui peut être spoofée ou piratée autant qu’on veut, est une donnée personnelle, on voit mal comment un numéro de CàP affecté à un utilisateur par un processus a priori autrement plus fiable n’en serait pas une.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *