Les paiements NFC (Near Field Communication) deviennent de plus en plus courants. Bien que les États-Unis aient été un peu lents à adopter, les gens au Royaume-Uni utilisent la technologie depuis 2011. Ces dernières années, les paiements NFC ont également explosé en popularité en Europe, au Canada et en Australie.
L'un des principaux arguments de vente des paiements NFC est une meilleure sécurité. Nous avons longuement parlé des fonctionnalités de sécurité offertes par Apple Pay ailleurs sur le site.
Mais ne soyez pas dupe. Les paiements sans contact NFC n'offrent pas une garantie absolue de sécurité. Comme toute transaction financière, il y a des faiblesses et des failles.
Voici cinq problèmes de sécurité NFC que vous devez prendre en compte avant d'effectuer votre prochain paiement sans contact.
L'écoute clandestine est sans doute la menace numéro un pour tous les paiements sans contact NFC. Le terme fait référence à un criminel qui "écoute" une transaction NFC.
Contrairement à la remise d'espèces dans un magasin, la nature des paiements NFC signifie que l'appareil de paiement et le terminal transmettent des données électroniques. Ces données peuvent être utilisées par des voleurs pour vérifier des informations privées sur l'utilisateur. Il peut s'agir de coordonnées bancaires, mais également d'informations nécessaires à une simple usurpation d'identité, telles que des noms et des adresses.
D'une manière générale, une transaction NFC comporte trois aspects principaux :capture des signaux d'interface hertzienne , décodage des canaux de communication , et analyse des données capturées . C'est la première partie qui risque d'être écoutée.
Les paiements NFC utilisent le couplage magnétique pour gérer le transfert d'énergie entre le lecteur RFID HF et les antennes du tag. Le couplage impose des limites à la portée des signaux, mais certains hackers white hat affirment qu'ils ont réussi jusqu'à cinq mètres de distance.
En fin de compte, si un intercepteur peut recevoir, amplifier, traiter et décoder les signaux divulgués, il peut écouter.
Solution : Utilisez uniquement des canaux sécurisés pour effectuer des paiements. Les canaux sécurisés chiffrent les données afin que seul un appareil autorisé puisse les décoder.
Les paiements sans contact NFC sont rendus possibles par les applications. La technologie NFC est un élément matériel de votre téléphone ou de votre tablette, mais c'est l'application individuelle ou le système d'exploitation qui décide de la manière dont la technologie est utilisée.
Même si vous n'utilisez pas les paiements NFC, vous connaissez probablement certains des principaux acteurs du secteur. Ils incluent Samsung Pay, Apple Pay, Android Pay, LifeLock Wallet et Square Wallet. Plusieurs applications bancaires ont également cette fonctionnalité.
Comme toute application sur votre téléphone, vous devez mettre à jour ces applications fréquemment. Évidemment, une application à jour vous donnera accès aux dernières fonctionnalités, mais elle garantira également que vous utilisez la version de l'application avec les correctifs de sécurité les plus récents.
Si vous n'utilisez pas la dernière version d'une application, vous risquez de compromettre votre sécurité financière.
Solution : Assurez-vous toujours que les mises à jour automatiques sont activées sur votre appareil.
L'année dernière, près de 2,5 millions d'Américains se sont fait voler leur smartphone. Historiquement, si vous étiez victime d'un vol, c'était ennuyeux mais cela ne changeait pas la vie. Si vous étiez diligent, vos contacts, photos, messages et autres données précieuses auraient été dans le cloud :vous n'avez rien perdu.
Cependant, avec la prévalence croissante des applications de paiement sans contact NFC, cela pourrait changer.
Bien sûr, si vous prenez votre sécurité mobile au sérieux, vous ne devriez généralement pas vous inquiéter. Votre téléphone et votre application de paiement seront protégés à l'aide de mots de passe, de codes PIN et de données biométriques.
Cependant, des milliers de personnes ne prennent pas ces précautions. Ils sont vulnérables. Vous pouvez également être vulnérable si vous désactivez les invites de code PIN pendant des périodes définies après une transaction, puis perdez votre téléphone pendant cette période.
Mais ignorer la sécurité des utilisateurs laxistes et les séquences d'événements malheureuses, y a-t-il toujours un risque ? Oui, mais c'est minime. La façon dont les applications de paiement utilisent la tokenisation les empêche de fonctionner si elles détectent un code PIN piraté.
Solution : Ne prenez pas de raccourcis avec la sécurité de votre téléphone. Activez toujours toutes les protections disponibles au niveau de l'appareil et de l'application. Si vous perdez votre téléphone, contactez immédiatement votre banque et le fournisseur de votre application de portefeuille.
Revenons à quelques notions techniques. En plus des attaques d'écoute clandestine, vous êtes également vulnérable aux attaques d'interception. Ils fonctionnent de la même manière que les attaques de l'homme du milieu :un pirate reçoit des informations d'un appareil, les modifie, puis les transmet au destinataire prévu.
Avec le NFC, le risque est négligeable, mais il existe. Les pirates ne peuvent le faire fonctionner que si les deux appareils sont tous les deux en Actif mode. Si l'on est en passif mode, les deux appareils ne peuvent pas recevoir et envoyer des informations en même temps.
Même si les deux sont en mode Actif, les appareils pourraient reconnaître une erreur de protocole et arrêter la transmission.
En fin de compte, les attaques d'interception sont difficiles à mettre en œuvre, mais pas impossibles.
Solution : Laissez NFC désactivé lorsque vous ne l'utilisez pas. Lorsqu'il est activé, laissez votre appareil en mode passif pour éviter un couplage actif-actif accidentel.
Vous ne pensiez pas que nous serions capables de parcourir tout l'article sans parler de confidentialité, n'est-ce pas ? !
Il n'est pas surprenant que les paiements NFC mettent en évidence une foule de nouveaux problèmes de confidentialité au cours des prochaines années.
Pour comprendre la situation actuelle, il est nécessaire d'expliquer un peu le contexte. En 1999, le Congrès des États-Unis a adopté la Loi Gramm–Leach–Bliley. (GLBA). L'un des nombreux changements mis en œuvre consistait à assimiler les fournisseurs de services de paiement mobile aux institutions financières et à permettre à leurs consommateurs de refuser de partager des informations personnelles à des fins de marketing tiers.
Le décret a été suivi en 2003 par la loi CAN-SPAM (CSA) et la Loi sur la protection des consommateurs par téléphone (TCPA). Les lois interdisaient aux entreprises d'envoyer des e-mails commerciaux et des SMS non sollicités à des appareils sans fil. Mais surtout, les lois ne s'appliquent pas lorsqu'une personne a établi une relation commerciale avec l'expéditeur potentiel.
Jusqu'ici tout va bien. Cependant, GLBA, CSA et TCPA ne sont pas adaptés à l'ère moderne des paiements NFC.
Bien que personne ne l'ait encore testé devant les tribunaux, il semble que la GLBA ne s'appliquera pas si un consommateur ou une application (plutôt qu'une institution financière) divulgue les informations aux magasins et aux vendeurs lors d'une transaction NFC.
De même, CSA et TCPA ne s'appliqueront pas. En payant un fournisseur, vous avez établi une relation commerciale avec lui.
Il y a quelques résultats probables de ces failles :
Solution : Lisez les petits caractères d'une application, lisez les conditions générales d'une boutique et explorez toujours les paramètres de votre portefeuille pour voir s'il existe un moyen d'empêcher les transferts de données de cette nature.
Comme cet article l'a démontré, le NFC est loin d'être une solution miracle qui résoudra instantanément toutes les insécurités du secteur financier. Vous êtes exposé à des problèmes techniques, des problèmes pratiques et des problèmes de confidentialité.
Cependant, NFC est probablement encore plus sûr que d'utiliser les anciennes cartes bancaires à bande magnétique ou même les innovations plus récentes de Chip-and-PIN.
Utilisez-vous les paiements sans contact NFC ? La sécurité des paiements vous inquiète ? Avez-vous été victime d'un crime NFC? Comme toujours, vous pouvez laisser toutes vos opinions et réflexions dans la section des commentaires ci-dessous.
Crédit image :Wavebreakmedia/Depositphotos