X

News Partenaire

Entreprises : protégez vos données avant d’en payer le prix fort !

Si personne ne peut contester l’importance des données pour le développement de l’entreprise, leur traitement et leur sauvegarde sont, dans bien des cas, effectués avec grande négligence. Une situation d’autant plus préoccupante que le nombre de données détenues par les entreprises ne cesse d’augmenter et que les attaques de pirates pour s’en emparer se multiplient, se faisant chaque fois plus violentes. Ransomwares, chevaux de Troie, Malwares sont autant de formes d’attaques qui peuvent porter préjudice à l’entreprise, paralyser ses activités et lui faire regretter de ne pas avoir mieux protégé ses données, une attitude désinvolte qui n’est pas sans conséquences.

Les cartes bancaires NFC bonnes pour la poubelle ?

Un consultant sécurité de BT a découvert une incroyable faille dans les cartes bancaires équipées d’une puce NFC (Near Field Communication). De notre point de vue, la seule solution acceptable est de les détruire. Le GIE Cartes Bancaire nuance et parle d'une expérience de laboratoire.  

Cela fait déjà quelques semaines que Renaud Lifchitz, consultant sécurité au sein de British Telecom, tire la sonnette d’alarme durant des conférences ou ateliers qu’il anime. Sûr de ses découvertes, il a ainsi prévenu la Gendarmerie, les ministères des Finances et de l'Intérieur, La CNIL et d’autres organismes pour que des solutions soient trouvées car la faille qui affecte les cartes bancaires n’en est pas une : il s’agit d’un gouffre. Tellement béant qu’on se demande comment on a pu laisser passer une chose pareille. Résumons.

A l’aide d’une clé USB NFC ou encore d’une application pour téléphone mobile Android (une centaine de lignes de code max), il est possible de récupérer l’intégralité des informations d’une carte bancaire, à la seule exception du cryptogramme visuel de 3 chiffres imprimé sur le dos de la carte. Toutefois, le hacker pourra récupérer le nom du porteur de la carte, le numéro d’icelle, sa date d’expiration et le détail des vingt dernières transactions effectuées avec date, pays, montant et devise. Contrairement à ce que prétendent certains, il n’est pas nécessaire de placer la carte à une distance de 3 à 5 cm du lecteur pour capter les informations. Renaud Lifchitz affirme qu’il est possible de se trouver à 1,5m lorsque la carte est passive et 15 mètres lorsqu’elle est active, c'est-à-dire en cours de transaction. Notons que le plus incroyable est que la transaction NFC, elle-même, est sécurisée. « Sur les cartes de paiement NFC, il y a juste signature du paiement par la carte (ce qui ne protège absolument pas les informations de la carte ni du porteur), mais aucune authentification, aucun chiffrement des échanges et il y a de nombreuses informations personnelles», déclare Renaud Lifchitz.

Le plein de cartes bleues dans le métro

D’aucuns ont prétendu qu’il est dès lors possible de cloner la carte par ce procédé. Ce n’est pas tout à fait exact, précise M. Lifchitz. « Il est possible de copier juste une partie de la piste magnétique seulement (partie qui semble varier selon les fabricants de carte). La puce n’est pas clonable par nature car elle contient des secrets cryptographiques « stockés en dur » et non lisibles à l’extérieur ». Il précise également : « Pour moi le risque essentiel n’est pas le clone (difficile à faire fidèlement). Mais surtout la réutilisation frauduleuse des informations de la carte (nom du porteur, numéro de carte, date d’expiration) sur des sites Internet, à l’insu du porteur. La capture active ou passive de ces informations est faisable sur de longues distances (au moins 1,5m et 15m respectivement) absolument sans laisser de traces et sans éveiller les soupçons du porteur. Difficile donc de trouver l’origine de l’attaque (personne, lieu, date, …). Par ailleurs, ça permet de dépasser le plafond des 20€ des paiements sans contact… ». Si l’on se fie aux estimations de M. Lifchitz, une rame de métro bondée pourrait s’avérer un excellent endroit pour faire son plein de numéros de cartes bleues. En effet, précisons que si le cryptogramme visuel est largement demandé en France et en Europe, ce n’est pas le cas sur de nombreux sites de commerce électronique aux Etats-Unis. Sachant que la personne peut se faire dérober ses informations sans s’en rendre compte, les risques sont immenses.

Pour corriger ce problème, il semble que s’inspirer du Pass Navigo est une bonne idée. « Les cartes Navigo sont très  bien conçues niveau sécurité. Aucune information nominative n’est stockée. Il y a authentification mutuelle de la barrière et de la carte (cryptographie symétrique 128 bits), puis échange de clés,  chiffrement et signature des échanges », nous rappelle Renaud Lifchitz.

L’article 34 de la CNIL

Du point de vue légal, il convient de savoir que les cartes bancaires ne sont pas la propriété de leur porteur mais de la banque émettrice comme cela est indiqué au dos. Par ailleurs, soulignons que l’article 34 de la Loi Informatique & Libertés stipule que : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. ». En conséquence, les banques sont responsables de ces cartes et pourraient donc être poursuivies par la CNIL non pas pour le risque de hacking mais pour l’exposition de données personnelles.

Dans une interview accordée à PC Inpact, Armand Heslot, ingénieur au sein de la CNIL déclarait que son organisme « pouvait contrôler les établissements bancaires pour savoir si le traitement des données est conforme à la loi ». Notre confrère ajoutait que «  dans le cas contraire, la Commission pourrait demander une mise en demeure de conformité. Si aucun effort n’était fait, elle pourrait demander tout simplement l’arrêt du traitement. ». Contacté par nos soins, Armand Heslot confirme ses propos et ajoute que les banques pourraient également tomber sous les coup de l’article 226-16 du code pénal qui stipule que « le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende. » Par ailleurs M. Heslot précise que « les industriels devaient réaliser des études d’impact sur la vie privée et qu’il semble que ces études n’aient pas été réalisées ». M. Heslot rappelle enfin que les découvertes de M. Lifchitz posent un double problème : de sécurité et de confidentialité au travers du suivi des personnes et de l’historique des transactions. C’est ce second volet qui est plus précisément regardé par l’organisme.

Direction la poubelle

De notre point de vue, l’arrêt du traitement pourrait signifier la destruction de ces cartes et cela nous semble être la seule solution viable vu l’ampleur de la menace. Par ailleurs, nous recommandons à nos lecteurs équipés de ces cartes de les remplacer par des cartes « ordinaires », même s’il existe d’ores et déjà 100 000 lecteurs NFC en France permettant de régler simplement des montants inférieurs à 20€. L’autre solution consiste à s’équiper d’une cage de Faraday portative, à savoir une enveloppe métallique autour de son portefeuille. Si pour l’instant, il semble qu’aucun exploit n’ait été signalé, la facilité avec laquelle il semble possible de récupérer les informations doit inciter à la prudence. Comme l’indiquait M. Lifchitz « Le problème de sécurité vient de l’utilisation du protocole EMV qui n’est pas fait pour fonctionner en mode sans contact. C’est un problème de conception et non d’implémentation donc il faut revoir la norme… ».

Expériences de laboratoire selon le GIE

Dans cet intervalle, nous pensons qu’il est préférable de surseoir à la délivrance de ces cartes et qu’il convient de remplacer les cartes déjà émises. Nous avons contacté le GIE Cartes Bancaires. (M.A.J. du 26/04) Jean Marc Bornet, Administrateur au sein du GIE relativise la menace."Je ne comprends pas ce buzz autour d'un expérience de laboratoire et d'un risque théorique", explique-t-il. Il indique ensuite qu'aucun moyen de paiement n'est à 100% étanche et met en avant le fait que le client est protégé puisque la banque le remboursera en cas de fraude. Nous lui demandons pourquoi la solution du double PAN (voir ci-dessous) n'a pas été retenue. "C'est une question de coût. Cela aurait renchéri le coût du moyen de paiement et c'est complexe à mettre en oeuvre. Nous devons veiller en permanence à un équilibre entre le coût de l'instrument de paiement et la sécurité. Ce double PAN viendra peut-être mais pas pour le moment ", ajoutant que les Français sont un pays de chèque et qu'ils ne veulent pas dépenser pour leurs moyens de paiement. Il insiste une nouvelle fois sur le caractère innovant de ce produit et rappelle que le client est protégé. "Cela fait partie du métier des banques que de prendre des risques". Chacun appréciera le sens de cette phrase à la lumière de ses relations avec son banquier. Bref, l'organisme ne se déclare pas plus inquiet que cela des risques qualifiés d'extrêmement faibles. Dans un premier temps, un premier interlocuteur nous avait répondu beaucoup plus légèrement semblant considérer que tout cela n'était pas très important. M. Bornet prend plus de précautions par rapport aux travaux de M. Lifchitz. "Nous avons toujours pris ces risques au sérieux. Depuis 25 ans, la puce n'a pas cessé d'être adaptée". 

Pourtant, malgré ce discours plein de bonne volonté, le GIE n'envisage pas de faire quoi que ce soit pour le moment et précise que les banques vont peut-être diffuser des enveloppes métalliques destinées à contenir le risque. Point. Quant au terme d'expérience de laboratoire, laissons plutôt la parole à Renaud Lifchitz que nous avons recontacté hier soir. Voilà ce qu'il nous a précisé"J’ai fait mes démonstrations en direct devant 400 personnes avec du matériel disponible partout à 40€. J’ai rendu le code source de mon application (version bureau) disponible pour tous, pour que ce soit vérifiable et vérifié par un maximum de gens. Les spécifications EMV confirment que l’accès à ces informations n’est ni authentifié, ni chiffré. J’étais vendredi dernier à la Police Scientifique (IRCGN), qui m’ont demandé de venir pour échanger sur le sujet (eux sont préoccupés par les risques de fraude). Ils ont reproduit chez eux l’ensemble de mes observations avec du matériel similaire et étudient maintenant d’autres attaques et risques. Quant à l’écoute passive d’une transaction de paiement, elle ne nécessite pas plus de 300€ pour un récepteur radio qu’on trouve dans n’importe quelle boutique de radioamateur. On atteint sans problème les 15 mètres de portée avec ce type de matériel, sans antenne particulière (une bête antenne FM d’un vieux poste de radio). Les arguments de distance et de matériel coûteux ne tiennent pas très longtemps à l’examen…".  A chacun de se faire son opinion sur le côté "laboratoire" des tests pratiqués.

Au sujet de la campagne présidentielle, l'hebdomadaire anglais The Economist titrait sur le déni de réalité dont semblaient faire preuve les candidats à la magistrature suprême. Nous nous demandons si le GIE Cartes bancaires n'est pas dans le même genre de déni face au dysfonctionnements de ces cartes.

Des préconisations oubliées

Comme nous l'indiquons plus haut, l'idée de double PAN a fait l'objet de tergiversations. Dans son rapport 2009 publié en juillet 2010, l'observatoire de la sécurité des cartes de paiement recommandait la mise en place d'un PAN (Personal Authentification Number) spécifique pour la partie plastique et un autre pour la partie NFC. De la sorte, le vol ou la divulgation du PAN NFC n'aurait a priori pas été utilisable pour des opérations de commerce électronique. Cependant, dans la version 2010 du même rapport publiée en juillet 2011, on ne retrouve plus cette préconisation. Les tests menés par M. Lifchitz montrent qu'un seul numéro figure sur la carte et la puce NFC. Ceci signifie que tout le travail est à reprendre. Et nous pouvons même remonter à 2003 pour voir que le problème a été identifié voici fort longtemps. Voilà ce qui, selon l'Observatoire, était prévu : "Dans le cas particulier des porte-monnaie électroniques, les paiements sont protégés grâce à un dialogue sécurisé entre la carte du porteur et un module de sécurité installé dans le terminal du commerçant. Ce dialogue se caractérise par une authentification mutuelle entre les différents composants (cartes, terminaux et serveurs centraux) reposant sur des techniques cryptographiques. Après cette authentification, le porte-monnaie est débité du montant de la transaction et le terminal du commerçant est crédité du même montant. D’autres dispositifs sécuritaires permettent de détecter une anomalie sur un porte-monnaie électronique et d’en empêcher éventuellement l’utilisation."

Rappelons enfin qu’une étude menée par l’IFOP au mois de janvier dernier indiquait que près de 2 français sur 3 étaient assez ou résolument opposés au paiement sans contact. A la découverte de ces failles, on constate que les Français sont parfois fort clairvoyants, même si c'est de manière intuitive.


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider
Autres infos Sécurité

Actuellement à la Une...
Dossier L'1FO

Stockage Cloud : des services en pleine mutation

Tout le monde utilise à titre privé ou professionnel un service de stockage dans le cloud. L’espace de stockage est le paramètre le plus évident pour comparer ces services. Néanmoins bien d’autres critères doivent être considérés pour choisir le cloud auquel on accordera toute sa confiance. Article paru dans le n°158 de L'Informaticien.

Afficher tous les dossiers
Offres d'emploi
RSS
12345678910Last

Lancez votre recherche sur la rubrique Emploi avec notre partenaire



LIVRES BLANCS

Une étude Ponemon sur les coûts liés aux failles de sécurité en France, un Livre Blanc 3M France

IBM et Ponemon Institute ont réalisé une étude en 2016 sur les coûts liés aux brèches de sécurité. L'étude a été accomplie dans de nombreux pays dont la France. Il ressort de cette étude que les coûts ont augmenté en passant de 134 € à 141 € par personne. Et, en moyenne, le coût pour une entreprise s'élève désormais à 3,4 millions d'euros. 


Les nouvelles possibilités du Service Management, un Livre Blanc easyvista.

La transformation numérique des entreprises offre de nouveaux champs d’actions en matière de services rendus aux utilisateurs et ce afin d’améliorer leur vie quotidienne et leur productivité. 


Infrastructure IT gérée dans le cloud, un Livre Blanc Cisco Meraki et Inmac-WStore.

Ce Livre Blanc traite des tendances informatiques modernes et explique comment les produits Cisco Meraki fonctionnent en synergie pour fournir une solution informatique globale, fiable et complète pour les entreprises.


Comment choisir la solution de surveillance réseau adéquate ?  Un Livre Blanc Paessler.

Pour que son infrastructure informatique lui donne entière satisfaction, toute entreprise doit pouvoir compter sur un réseau haute performance. Pour maintenir la fluidité des procédures, tous les processus doivent fonctionner de manière fluide, y compris les communications internes et externes entre sites de l’entreprise, ainsi qu’avec les clients et partenaires. Les dysfonctionnements et pannes des processus opérationnels provoquent facilement des pertes de temps et surtout d’argent.


Stockage Flash : 1 000 utilisateurs témoignent, un Livre Blanc HPE.

1 000 responsables informatiques ont été interrogés à l'initiative d'HPE afin de relater les "surprises", bonnes et mauvaises qu'ils ont rencontré lors du déploiement puis l'utilisation de solutions de stockage Flash. L'essentiel des configurations et des utilisations ont été passées en revue pour ce qui constitue la plus grande enquête jamais réalisée sur ce thème et qui permet à chacun de préparer au mieux sa propre voie d'évolution, ceci en évitant les écueils qu'ont pu rencontrer les professionnels interrogés. 


Tous les Livres Blancs
Le Kiosque

SMART CITY : de l'IT pour piloter les villes - Maîtrisez Windows 10 CREATORS UPDATE - Mettons les robots dans les nuages ! - Comment le BACKUP se réinvente - Créez un projet ARDUINO avec Circuito - Rencontre avec David Fayon : « Comment la France peut devenir la tête de pont du numérique en Europe »...

 

STOCKAGE CLOUD : un casse-tête pour la DSI ! - Règlement européen RGPD : la parole aux entreprises qui s'y mettent - Microsoft Build : toutes les annonces - Wanacrypt : récit d'une cyberattaque historique - French Tech Brest+ - Nginx, nouveau standard de serveur web - Chatbots : l'interface de demain ?...

 

Afficher tous les derniers numéros
Derniers commentaires
Fil AFP
Techno et Internet
Le fondateur d'Amazon Jeff Bezos à Hollywood en Californie, le 17 septembre 2016

(FILES) This file photo taken on September 17, 2016 shows CEO of Amazon.com, Inc. Jeff Bezos attending the Amazon Emmy Award after party at Sunset Tower in West Hollywood, California.Amazon founder Jeff Bezos on Thursday became the world's richest person, as a jump in the share price of the US tech giant enabled him to overtake Microsoft founder Bill Gates, Forbes magazine estimated. The magazine said its real-time tracking of personal fortunes showed Bezos with a net worth of $90.5 billion, ahead of the $90 billion for Gates.Le fondateur d'Amazon Jeff Bezos est devenu brièvement jeudi l'homme le plus riche du monde, devant Bill Gates, à la faveur de la hausse en Bourse du titre du géant d'internet, selon le site du magazine américain Forbes, avant de repasser en deuxième position à la clôture de Wall Street. [Sommaire]

Facebook poursuit sa croissance et fait la joie des investisseurs, Twitter perd de l'argent et s'effondre en BourseLe contraste est flagrant: alors que Facebook poursuit sa croissance et fait la joie des investisseurs, Twitter perd de l'argent et s'effondre en Bourse. Pour les analystes, Facebook sait bien mieux que son concurrent fidéliser les utilisateurs et attirer les annonceurs. [Sommaire]

Photo du 12 décembre 2007 montrant le logo de Facebook sur un écran d'ordinateur à LondresLe réseau social américain Facebook a connu une forte croissance de ses résultats au second trimestre, notamment grâce à la publicité mobile, mais a confirmé que la croissance des recettes publicitaires allait continuer à ralentir cette année. [Sommaire]

Logo SoftBank à l'entrée d'une boutique, dans le quartier de Ginza à Tokyo le 8 février 2017Le géant japonais des télécommunications SoftBank Group a investi dans la société américaine iRobot, fabricant des robots-aspirateurs Roomba, a indiqué mercredi l'agence Bloomberg, sans citer ses sources. [Sommaire]

Photo prise le 12 avril 2016 d'une partie du nouveau superordinateur Bull d'Atos au cours d'une présentation à ParisLe groupe informatique français Atos a publié mercredi des résultats record au premier semestre et a confirmé ses objectifs pour l'ensemble de l'exercice, soulignant une jolie performance au Royaume-Uni et le lancement d'un simulateur quantique.  [Sommaire]

Démonstration sur un produit de contrôle militaire de la société iRobot lors de l'exposition de la réunion annuelle de l'Association de l'armée des Etats-Unis, le 14 octobre 2014  La société américaine iRobot, qui produit notamment des robots-aspirateurs, a annoncé mercredi l'acquisition de l'entreprise lyonnaise Robopolis, son plus grand distributeur européen longtemps dirigé par l'homme d'affaires Bruno Bonnell, pour 143 millions de dollars. [Sommaire]

Une agence bancaire Unicredit, le 9 février 2017 à Rome, ItalieLa banque italienne Unicredit a annoncé mercredi que les comptes de 400.000 de ses clients en Italie avaient été visés par des hackers mais que les données volées ne permettaient pas des transactions non autorisées. [Sommaire]

Le président américain Donald Trump et le PDG d'Apple, Tim Cook, lors d'une rencontre à la Maison Blanche, le 19 juin 2017 à WashingtonLe président américain Donald Trump a indiqué mardi que le géant informatique Apple lui avait promis d'ouvrir trois usines aux Etats-Unis, dans un entretien au Wall Street Journal (WSJ). [Sommaire]

Le géant technologique Google demande à la justice américaine de bloquer une décision de la Cour suprême canadienne qui le contraint à déréférencer au niveau mondial des pages de résultats de recherches sur internetLe géant technologique Google a demandé à la justice américaine de bloquer une décision de la Cour suprême canadienne qui le contraint à déréférencer au niveau mondial des pages de résultats de recherches sur internet, même lorsque celles-ci ne sont pas effectuées au Canada. [Sommaire]

Une publicité d'Adobe dans la presse américaine pour inciter Apple à autoriser son logiciel Flash Player sur ses appareils, le 13 mai 2010Le groupe informatique américain Adobe a annoncé mardi l'arrêt d'ici trois ans de son logiciel Flash Player, qui permet depuis près de 20 ans de lire des vidéos et des jeux vidéos. [Sommaire]

Toutes les dépêches AFP

AgendaIT

BLACK HAT

Événement majeur mondial sur la sécurité de l'information la conférence Black Hat USA a lieu du 22 au 27 juillet 2017 à Las Vegas (Mandalay Bay). Organisé par UBM.

IFA

Le plus grand salon professionnel européen de l'électronique grand public a lieu à Berlin du 3 au 6 septembre 2017. Organisé par Messe Berlin.

SALONS SOLUTIONS

Les Salons Solutions - ERP, CRM, BI et Big Data, E-Achats, Demat'Expo, Serveurs & Applications - se tiennent du 26 au 28 septembre 2017 à Paris, Porte de Versailles. Organisés par Infopromotions.

MICROSOFT EXPERIENCES'17

Deux jours de conférences et 10000 m2 d'espaces d'échange pour s'immerger dans les innovations du numérique les 3 et 4 octobre 2017 à Paris, Palais des Congrès de la Porte Maillot. Organisé par Microsoft.

SMART CITY + SMART GRID

Exposition, contérences et ateliers, le salon de la ville et des territoires intelligents, durables et connectés Smart City + Smart Grig se tient les 4 et 5 octobre 2017 à Paris, Porte de Versailles (Pavillon 2.2). Organisé par Infopromotions.

LES ASSISES

Grand rendez-vous annuel des RSSI, les Assises de la sécurité des systèmes d'information se tiennent à Monaco (Grimaldi Forum) du 11 au 14 octobre 2017. Organisées par DG Consultants.

MOBILITY FOR BUSINESS

7ème édition de Mobility for Business, le salon des solutions mobiles pour une meilleure transformation digitale des entreprises, les 17 et 18 octobre 2017 à Paris Porte de Versailles (Hall 5.1). Organisé par Infopromotions.
Voir tout l'AgendaIT