La CNIL en action : la sécurité du sans contact « NFC »
1 Le sans contact, technologie innovante
Le paiement sans contact grâce à la technologie NFC (Near Field Communication) est une technologie sans fil à courte portée et à haute fréquence qui permet l’échange d’informations entre une carte à puce RFID (Radio Frequency IDentification) et un terminal.
- le paiement et les transactions commerciales même de petites sommes,
- la billetterie comme pour le passe Navigo en Île-de-France.
- d’autres usages sont en cours d’expérimentations avec des services très innovants dans le domaine de la santé, du transport, de la logistique…
Les cartes bancaires équipées de cette technologie permettent de payer en présentant simplement la carte devant le terminal de paiement équipé d’un capteur NFC.
2 Le sans contact au contact de la réalité : faille de sécurité !
Les tests réalisés depuis 2 ans sur demande de la CNIL ont mis en évidence des problèmes de sécurité de la NFC : la lecture de données confidentielles à distance comme le nom du porteur, la liste des transactions réalisées, parfois le numéro de la carte et de sa date d’expiration est possible à distance avec simplement du matériel de base comme une clé USB ou un autre Smartphone. Les failles de sécurité freinent l’évolution de cette nouvelle technologie prometteuse et des avancées doivent se faire afin de garantir toute la sécurité que le consommateur est en droit d’attendre.
Une simple clé USB SCM SCL3711 (40€) permet de capter à distance des données personnels d’une carte dotée de la puce NFC
3 La CNIL face au sans contact : réduire les risques et rassurer les usagers.
La Cnil rappelle que « la loi Informatique et Libertés prévoit que les organismes mettant en œuvre des traitements informatiques doivent assurer la sécurité des données qu’ils traitent afin, notamment, d’empêcher que des tiers non autorisés n’y aient accès »
Depuis 2012, la CNIL a investigué et demande aux industriels du secteur quelques évolutions propres à protéger les données confidentielles sur les cartes NFC pour rassurer les porteurs.
La CNIL obtient des organismes bancaires quelques améliorations pour déjouer les défaillances de la technologie NFC et garantir la sécurité des données personnelles des porteurs.
- la suppression de l’accès au nom du porteur pour les cartes NFC émises à depuis septembre 2012,
- la suppression de l’accès à l’historique des transactions modèles de carte dotées de la technologie NFC mises sur le marché à partir de fin 2013.
D’autres recommandations entreront en vigueur rapidement pour réduire les risques et donner confiance aux nouvelles technologies du sans contact:
- les porteurs de carte seront obligatoirement informés de la fonctionnalité du « sans contact » avec les précautions d’usages,
- les usagers pourront choisir entre les 2 types de cartes bancaires, avec ou sans la technologie NFC,
- certains organismes bancaires proposent des cartes dont la fonctionnalité peut être désactivée voire la fonctionnalité NFC pourra se désactiver automatiquement ou par défaut.
Le conseil ALLO TPE
L’utilisation du mode sans contact à l’aide d’étuis de protection de sa carte bancaire et de son smartphone permet aussi de se prémunir du vol d’informations personnelles.
Allo propose de TPE sans contact à l’achat ou de la location tpe sans contact
Etui de protection anti RFDI ? Lire plus : https://allo-tpe.fr/etui-de-protection-sans-contact/