Nouvelles cartes de paiement sans contact: quels risques ?

download Nouvelles cartes de paiement sans contact: quels risques ?

of 32

  • date post

    30-Oct-2015
  • Category

    Documents

  • view

    253
  • download

    0

Embed Size (px)

description

Présentation sur les vulnérabilités des nouvelles cartes bancaires sans contact (NFC)

Transcript of Nouvelles cartes de paiement sans contact: quels risques ?

  • Nouvelles cartes de paiement sans contact : quels risques ?

    Renaud Lifchitz BTrenaud.lifchitz@bt.com

    Assises de la Scurit 2012 5 Octobre Monaco

  • Nouvelles cartes de paiement sans contact : quels risques ?Renaud Lifchitz BTAssises de la Scurit 2012 5 Octobre Monaco

    2

    Approche globale Ancrage local

    BT France Quelques chiffres

    2 000 collaborateursLeader de la scurit avec 3 000 quipements rseau superviss en France et 350 experts3 datacentres, 1 NOC, 1 SOC 90% des socits du CAC 40 sont clients de BT France

    BT, Oprateur mondial de services Tlcoms et IT

    World Communication Awards 2011

    BT Global ServicesBest Global Operator

    BT Global Services est le seul oprateur not strong positive dans le Market Scope for Managed Security Services in Europe, 2011 de Gartner

    Notre savoir faire : Intgrer, oprer et scuriser les infrastructures Tlcoms/IT au coeur des activits de nos clients.

    Ce qui nous diffrencie ? Avec environ 4 500 consultants dans le monde dont 1 800 en France, nous

    possdons une des plus grandes quipes de consultants et de personnes ddies au services sur notre secteur

    Un portefeuille doffres trs large et complet Une exprience forte dans la livraison de projets complexes pour nos clients dans

    plus de 170 pays, reconnue sur le march La reconnaissance du march en matire de service client et dinnovation

  • Nouvelles cartes de paiement sans contact : quels risques ?Renaud Lifchitz BTAssises de la Scurit 2012 5 Octobre Monaco

    3

    A propos du confrencier

    Consultant scurit senior chez BT France

    Principales activits : Formations scurit Tests d'intrusion & audits de scurit R&D scurit

  • Nouvelles cartes de paiement sans contact : quels risques ?Renaud Lifchitz BTAssises de la Scurit 2012 5 Octobre Monaco

    4

    Paiement sans contact / NFC Paiement au quotidien sans insertion de carte ni code PIN Principaux systmes :

    VISA payWave & MasterCard PayPass Petits paiements (typiquement 4 fois 20 la suite) 225 millions de cartes bancaires NFC dans le monde

    (Eurosmart, 2011) Plus de 100 000 terminaux de paiement en France

  • Nouvelles cartes de paiement sans contact : quels risques ?Renaud Lifchitz BTAssises de la Scurit 2012 5 Octobre Monaco

    5

    Le paiement sans contact en France

  • Nouvelles cartes de paiement sans contact : quels risques ?Renaud Lifchitz BTAssises de la Scurit 2012 5 Octobre Monaco

    6

    Le paiement sans contact en France

  • Nouvelles cartes de paiement sans contact : quels risques ?Renaud Lifchitz BTAssises de la Scurit 2012 5 Octobre Monaco

    7

    Comment reconnatreune carte NFC ?

    Logo noir ou blanc sur le recto de la carte :

  • Nouvelles cartes de paiement sans contact : quels risques ?Renaud Lifchitz BTAssises de la Scurit 2012 5 Octobre Monaco

    8

    Paiement sans contact - objectifs Permettre des paiements plus rapides et plus

    simples Favoriser les achats (MasterCard Canada

    rapporte que les utilisateurs de PayPass dpensent environ 25% plus)

    Systme interoprable

  • Nouvelles cartes de paiement sans contact : quels risques ?Renaud Lifchitz BTAssises de la Scurit 2012 5 Octobre Monaco

    9

    Normes & standards Partie radio / sans contact : RFID / NFC / Cityzi

    HF (13,56 Mhz) & LF (125-134 kHz) Protocole HF : ISO 14443 Utilisation pour encapsulation

    Stockage des donnes et scurit :standard EMV (Europay MasterCard & Visa)

    Commandes protocolaires et systme de fichiers : normes ISO/IEC 7816

    Codage des donnes : BER TLV (proche d'ASN.1) http://www.emvlab.org/tlvutils/

  • Nouvelles cartes de paiement sans contact : quels risques ?Renaud Lifchitz BTAssises de la Scurit 2012 5 Octobre Monaco

    10

    Lecteurs NFC

    Lecteurs USB : SCM SCL3711 (cl USB 40) ACS ACR120U/ACR122U (lecteur plat)

    Smartphones : Samsung Galaxy S3, Samsung Nexus S,

    Samsung Nexus Galaxy BlackBerry Bold 9900/9930, BlackBerry Curve

    9350/9360/9370 Nokia N9/C7/603

  • Nouvelles cartes de paiement sans contact : quels risques ?Renaud Lifchitz BTAssises de la Scurit 2012 5 Octobre Monaco

    11

    Comparaison avec d'autres cartes RFID Cartes de transport Navigo, encapsulation ISO 7816 sur RFID mais :

    Pas de donnes caractre personnel sur la carte(numro de srie de la carte identifiant utilisateur)

    Utilisation d'un chiffrement fort Utilisation d'une authentification solide Utilisation de messages signs

    Passeports RFID : Utilisation de chiffrement Utilisation d'une lecture combine pour viter les accs sauvages

    (optique + RFID)

    Les cartes bancaires devraient tre au moins aussi scurises(enjeu financier), mais qu'en est-il ?

    AUCUNE AUTHENTIFICATION NI CHIFFREMENT !!!

  • Nouvelles cartes de paiement sans contact : quels risques ?Renaud Lifchitz BTAssises de la Scurit 2012 5 Octobre Monaco

    12

    Donnes accessibles distance Sgrgation plutt faible des interfaces avec et sans

    contact Confirm :

    Porteur : civilit, prnom et nom Numro de carte (PAN : Primary Account Number) Date d'expiration Donnes de la piste magntique Historique des dernires oprations

    Probablement : informations gnrales sur la carte (metteur, cls publiques, )

    Pas de CVV(mais une fonction de CVV usage unique !)

  • Nouvelles cartes de paiement sans contact : quels risques ?Renaud Lifchitz BTAssises de la Scurit 2012 5 Octobre Monaco

    13

    Attaque minimale typique

    1) Rveil des cartes dans le champ : 4A 01 00

    2) Slection de l'application bancaire (AID): 40 01 00 A4 04 00 07 A0 00 00 00 42 10 10 00

    3) Lecture de l'enregistrement EMV : 40 01 00 B2 02 0C 00 00

    Prfixe/suffixe libnfcCommande ISO-7816

    Spcifique EMV

  • Nouvelles cartes de paiement sans contact : quels risques ?Renaud Lifchitz BTAssises de la Scurit 2012 5 Octobre Monaco

    14

    Slection de l'application bancaire

    Quelques AIDs connus : Visa debit/credit : A0 00 00 00 03 10 10 MasterCard credit : A0 00 00 00 04 10 10 American Express : A0 00 00 00 25 00 00 CB : A0 00 00 00 42 10 10

    Les informations accessibles et leur localisation varient en fonction de l'AID

  • Nouvelles cartes de paiement sans contact : quels risques ?Renaud Lifchitz BTAssises de la Scurit 2012 5 Octobre Monaco

    15

    Dmonstration

  • Nouvelles cartes de paiement sans contact : quels risques ?Renaud Lifchitz BTAssises de la Scurit 2012 5 Octobre Monaco

    16

    Dmonstration Ordinateur

  • Nouvelles cartes de paiement sans contact : quels risques ?Renaud Lifchitz BTAssises de la Scurit 2012 5 Octobre Monaco

    17

    Dmonstration Smartphone Android

  • Nouvelles cartes de paiement sans contact : quels risques ?Renaud Lifchitz BTAssises de la Scurit 2012 5 Octobre Monaco

    18

    Limitations lies la distance

    ISO 14443 : lecture active au minimum de 3 5 cm Mais en modifiant le matriel :

    Lecture active jusqu' 1,50 m (50x mieux !) en utilisant un amplificateur (2000 ) et une antenne adapte (1000 ).L'ensemble tient dans un sac dos...

    Lecture passive jusqu' 15 m (500x mieux !) en utilisant un rcepteur radio (ex.: USRP) avec une antenne tlscopique standard

    Pour rappel : en aot 2004, des hackers avaient russi tendre la porte d'une cl Bluetooth de 10 m 1,7 km !(http://trifinite.org/trifinite_stuff_lds.html)

  • Nouvelles cartes de paiement sans contact : quels risques ?Renaud Lifchitz BTAssises de la Scurit 2012 5 Octobre Monaco

    19

    Sniffing passif

    Tentatives de lecture et communication avec la carte bancaire ( 15 mtres)

  • Nouvelles cartes de paiement sans contact : quels risques ?Renaud Lifchitz BTAssises de la Scurit 2012 5 Octobre Monaco

    20

    Nombreux risques identifis Fraude bancaire contre l'utilisateur

    Atteinte la vie prive : identification distante de l'utilisateur, suivi, ciblage terroriste...

    Dnis de service (blocage de cartes)

    Conformit pour les banques

    Conformit pour les commerants

  • Nouvelles cartes de paiement sans contact : quels risques ?Renaud Lifchitz BTAssises de la Scurit 2012 5 Octobre Monaco

    21

    Risque de fraude bancaire Lecture des informations bancaires du porteur et

    rutilisation sur des sites e-commerce sur Internet : Le CVV n'est pas demand sur tous les sites Le CVV (quand il est demand) n'est pas

    toujours obligatoire Le CVV est bruteforable (1000 possibilits) 3D-Secure semble de moins en moins adopt

    (contraintes utilisateur)

    Cration d'un clone de la piste magntique distance et rencodage sur une carte vierge (WTHR, 13 Investigates, USA)

  • Nouvelles cartes de paiement sans contact : quels risques ?Renaud Lifchitz BTAssises de la Scurit 2012 5 Octobre Monaco

    22

    Risque de fraude bancaire Quid de l'assurance pour le remboursement des

    transactions frauduleuses ?

    Contexte lgal complexe (articles L. 133-15 24) La banque ne semble pas tenue de rembourser en cas

    de contestation (article L. 133-18), et sa responsabilit peut ne pas tre engage en cas dutilisation douteuse (I, II et IV de l'article L. 133-19 et l'article L. 133-23)

    Le cadre peut dpendre de l'tablissement bancaire cf. tude de l'UFC Que Choisir :

    http://www.ufcnancy.org/index.php?reftxt=201206171043&rub=1

  • Nouvelles cartes de paiement sans contact : quels risques ?Renaud Lifchitz BTAssises de la Scurit 2012 5 Octobre Monaco

    23

    Conformit 2 problmes majeurs de conformit ds ce manque de

    scuri