La Commission nationale de l'informatique et des libertés (Cnil) a annoncé le jeudi 10 mai "mener des investigations techniques" pour s'assurer de la sécurité des données personnelles enregistrées par les cartes bancaires sans contact utilisant la technologie NFC (Near Field Communication). Ces fameuses cartes de paiement ne nécessitent pas de saisir un code pour valider un achat jusqu'à un montant d'une vingtaine d'euros.

"Des tests auraient démontré que ces cartes seraient susceptibles de communiquer sur plusieurs mètres des informations relatives à leur porteur ou aux transactions effectuées par celui-ci", soumet la Cnil, en s'appuyant sur différents articles de presse. Il s'agit notamment de l'absence de chiffrement du protocole EMV relevé par Renaud Lifchitz, ingénieur en sécurité chez BT. Visa et Mastercard n'auraient pas pris la peine de crypter le transfert d'informations entre ses cartes et les terminaux NFC, via ce protocole. Ce qui fait qu'un petit malin bien équipé (un simple dongle USB à 40 €) pourrait tout à fait scanner les informations concernant la carte bancaire, voire même dupliquer la dite carte. Le garant de l'identité veut ainsi identifier les problèmes de sécurité pour connaître leurs conséquences sur "la vie privée des porteurs de carte".

Une démonstration vidéo très intéressante de Renaud Lifchitz sur la faille du protocole EMV utilisé par Visa et Mastercard a été publiée en ligne (voir ci-dessous). Il est également possible de consulter la présentation de ce chercheur à l'occasion de la conférence Hackito Ergo Sum, en avril dernier à Paris : www.scribd.com/doc/89942864/Hes2012-Bt-Contact-Less-Payments-In-Security