Vous arrive-t-il d’emprunter le métro de Londres ? Le métro de Boston ? Le métro de Paris ? Les bus d’Oxford ? Le BART de San Francisco ? Les Trains de Sydney ? La ligne Yurikamome de Tokyo ?
Vous êtes même peut être en ce moment collé contre d’autres passagers lors de votre trajet matinal, en lisant cet article sur votre téléphone mobile ?
Ou peut-être que vous attendez un vol, après avoir traversé un aéroport bondé, pour arriver à temps à votre porte d’embarquement ?
Si c’est le cas, je suis certain que vous craignez que votre carte bancaire sans contact ne soit victime d’un pickpocket numérique.
Ou bien encore, que votre passeport RFID ne puisse donner l’accès à tous les données personnelles qu’il contient, alors que vos documents sont bien rangés dans votre sac à dos ou votre banane.
J’ai essayé différentes applications Play Store disponibles gratuitement sur un téléphone Android, et j’ai pu récupérer de manière fiable les données suivantes au niveau d’un passeport et d’une carte bancaire, le tout à distance et sans contact via la technologie NFC:
- Carte bancaire: le numéro de carte complet et la date d’expiration.
- Passeport: nom, prénom, nationalité, sexe, date de naissance, photo, numéro de passeport, date d’expiration.
NB: Soyez prudent si vous voulez faire le test chez vous. En effet, même si une application Play Store est open source, il est difficile de vérifier le code source pour s’assurer qu’il n’enregistre pas ou n’envoie pas vos données de manière inappropriée, que ce soit par accident ou par conception. J’ai utilisé un téléphone de test que j’ai gardé hors ligne en lisant les données et j’ai nettoyé le téléphone après coup. De plus, j’ai utilisé des passeports et des cartes expirés (avec la permission des propriétaires, bien sûr).
Travaillant dans le secteur de la sécurité informatique, je sais que je suis naturellement attiré par le scénario le plus catastrophique, même si certaines personnes me prennent pour un paranoïaque ou un adepte des feuilles d’aluminium.
Alors lorsque j’ai participé récemment à une conversation dans un bar sur la nécessité d’une protection anti-RFID pour votre portefeuille, à savoir une protection à base de papier aluminium pour vos cartes de crédit, ma curiosité a alors été piquée au vif !
Au début, cette idée m’est apparue stupide, après avoir vu un ami en train d’essayer d’utiliser un portefeuille muni d’un bloqueur RFID au niveau du badgeur de l’entrée d’un immeuble, mais sans succès.
Cependant, écoutant cette personne dans le bar en question, qui soutenait que les portefeuilles anti-RFID n’étaient pas seulement une bonne idée mais une nécessité, j’ai décidé de pousser mon enquête un peu plus loin. Être une personne entêtée avec une farouche détermination à prouver que cette personne avait tort, … ma mission était devenue claire …
… j’ai commencé par acheter trois différents bloqueurs RFID et j’ai commencé les tests.
Protection anti-RFID/Technologie N°1: la carte bancaire anti-RFID (marque: Kinzd)
Protection anti-RFID/Technologie N°2: la carte anti-RFID/NFC (marque: Attenuo)
Protection anti-RFID/Technologie N°3: l’étui anti-RFID (marque: Tenn Well)
Les deux premiers produits testés ont la taille d’une carte de crédit, seul le dernier est accompagné d’un étui au format passeport. Mais fort heureusement, vous serez soulagé de savoir que les données de votre passeport ne sont pas faciles à lire sans que vous vous en aperceviez.
En effet, les passeports utilisent la protection RFID Basic Access Control (BAC) pour protéger les données personnelles présentes dans ce dernier. Cette protection est plus faible que l’utilisation d’un mot de passe (comme vous le faites pour vous connecter à votre téléphone ou ordinateur portable, par exemple), mais vous ne pouvez pas lire les données numériques au niveau de la puce du passeport sans avoir au préalable des informations spécifiques sur ce document.
En effet, c’est uniquement si vous possédez au préalable, le numéro de passeport, la date d’expiration et la date de naissance, que vous pouvez alors ouvrir une session BAC, qui chiffrera ensuite les données échangées entre le lecteur et le passeport.
Autrement dit, toute personne qui voudrait lire la puce de votre passeport devra tout d’abord l’ouvrir à la page de votre photo, ce qui risque de l’empêcher de déambuler dans l’aéroport en pouvant avoir accès aux passeports dans les sacs, portefeuilles, valises, etc…
Cette protection fonctionne parce que vous n’avez pas besoin de montrer votre passeport si souvent, et quand vous le faites, vous avez en général un fonctionnaire en face de vous qui peut l’examiner physiquement et numériquement, et ce en même temps.
Les cartes bancaires avec des puces de paiement sans contact n’ont pas besoin d’une configuration authentifiée avant d’accepter la transmission de données.
Le test du métro
Faut-il vraiment se méfier ?
Dans un métro bondé, un individu mal intentionné pourrait-il récupérer les données de votre carte bancaire au travers de votre pantalon et de votre portefeuille, tout en tenant son téléphone à proximité ?
Les résultats de mes tests affirment que “Oui”.
Un téléphone portable muni de la technologie NFC peut scanner et enregistrer avec précision le numéro complet et la date d’expiration d’une carte de crédit qui se trouve dans votre poche.
Vous devez vraiment approcher le téléphone très près, mais à quelle distance des autres vous trouvez-vous dans les trains, les métros et les bus aux heures de pointe ?
Donc, à présent, quels sont les résultats de ce test en utilisant les trois technologies de protection anti-RFID mentionnées ci-dessus ?
La bonne nouvelle est que dans mon expérimentation (certes peu scientifique), les trois bloqueurs ont empêché mon téléphone portable de lire les cartes, peu importe la distance, et peu importe aussi les subterfuges utilisés si j’avais décidé de lire les données directement en m’approchant des poches des voyageurs dans les transports en commun.
Même en frottant la carte et le téléphone l’un contre l’autre, je n’ai rien pu obtenir de la carte en question !
Quelques explications techniques
Alors pourquoi est-ce que le badge électronique de mon ami n’était pas protégé par son portefeuille brouilleur RFID ?
RFID, est l’abréviation de Radio Frequency Identification, et fonctionne avec une gamme de fréquences radio différentes: faible, à environ 125kHz; haute, à 13.56 MHz; et ultra-haute, à environ 900MHz.
NFC, est l’abréviation de Near-field Communication, et est un sous-groupe de la famille RFID, dédié aux utilisations rapprochées. Ainsi, les puces NFC utilisent la bande haute fréquence à 13.56 MHz.
Les lecteurs RFID émettent juste assez d’énergie électromagnétique pour induire suffisamment de courant dans l’antenne d’un tag RFID ou NFC (votre passeport ou carte de crédit, par exemple) pour que la puce puisse s’allumer, effectuer des calculs et envoyer des données.
L’antenne sert donc non seulement de moyen de transmission de données, mais aussi de transfert de puissance, à la manière décrite par Nikola Tesla.
De nombreuses serrures RFID au niveau des portes sont des systèmes basse fréquence, fonctionnant avec une forte puissance, elles sont donc plus difficiles à bloquer avec des dispositifs de brouillage légers: la fréquence basse signifie une longueur d’onde radio plus longue, signifiant aussi généralement une meilleure propagation.
Donc, les bloqueurs de communication visant les cartes de crédit et les mots de passe ne fonctionneront pas toujours pour protéger les badges de laisser-passer, les serrures de porte et autres kits RFID à basse fréquence.
Que fait-il rechercher ?
Au cas où vous vous demandez si vous avez effectivement un passeport RFID, vérifiez la présence de ce symbole. Si c’est le cas, votre passeport est effectivement équipé d’une puce:
Sur la carte bancaire RFID sans contact, vous verrez le symbole suivant:
Quoi faire ?
Autant que je sache, les transactions NFC frauduleuses initiées par des inconnus dans le train sont très rares, donc le risque peut être considéré comme faible. Cependant, de telles attaques sont toutefois techniquement possibles. D’ailleurs, un test rapide avec un téléphone portable devrait vous convaincre.
A ma grande surprise, tous les dispositifs de protection que j’ai essayés, toute comme l’approche artisanale avec l’utilisation de papier aluminium d’ailleurs, semblait fonctionner, du moins lors de mes tests basiques et non scientifiques.
Cependant, affirmer que “mon téléphone peut-il lire ma carte de crédit qui se trouve la poche de mon jean ?” est facile. Par contre, affirmer que “ce portefeuille RFID protégera toujours ma carte de crédit” est beaucoup plus difficile.
Ainsi, utilisez dès que possible une protection anti-RFID. Mais continuez de vérifier vos relevés afin de détecter d’éventuelles transactions frauduleuses.
Après tout, le RFID n’est pas le seul moyen de pirater votre compte …
Billet inspiré de Does your credit card need a tinfoil hat to keep it safe on the train?, sur Sophos nakedsecurity.