On s’en approche, lentement mais sûrement. Nous connaissons déjà les cartes de paiement sans contact, voire Google Wallet, qui sont, surtout aux États-Unis, un moyen de paiement de plus en plus présent. Visa et Mastercard visent, quant à eux, votre smartphone grâce à l’émulation de cartes.
Transformer votre smartphone en moyen de paiement, ce n’est pas nouveau. Il représente un potentiel commercial démentiel au moment où les objets connectés s’insèrent de plus en plus dans nos vies. Ce qui est nouveau par contre, c’est la possibilité donnée par Android 4.4 d’émuler les cartes. “Android Host Card Emulation reproduit la norme ISO/IEC 7816 basée sur les cartes connectées pour utiliser la norme sans contact la norme ISO/IEC 14443-4 comme protocole de transmission” écrivent les développeurs. En d’autres termes, Visa et Mastercard auront la possibilité de demander à votre smartphone de devenir votre carte de paiement et d’interagir avec un terminal de paiement. Il sera donc possible de passer votre terminal téléphonique sur une borne de paiement NFC pour payer.
On parle ici de carte de crédit. Mais Android HCE s’étend à toutes les cartes et les possibilités sont infinies : des cartes de fidélité, d’entreprises… voire des cartes SIM, pour éventuellement des smartphones fonctionnant un jour sans cette fameuse puce ! Mais c’est une autre histoire, revenons donc à nos cartes de paiement.
Et la sécurité ?
Alors là, il va falloir être vigilant. Dans le cas de Visa, l’entreprise a décidé de faire passer l’émulation de carte par son service payWave, dont les données transiteront par le Cloud. Soucieux d’étendre son service, Visa laissera à la disposition des développeurs le code nécessaire pour embarquer dans leurs applications le service Visa de paiement sans contact, ce qui n’est pas le cas actuellement.
Pourquoi passer par le Cloud ? Cela permettrait d’éviter aux terminaux de procéder eux-mêmes à l’émulation : ils recevraient directement leurs données d’émulation en provenance des serveurs de Visa. Ce qui indique bien la réticence des fabricants de carte de placer leur confiance dans Android. Mais est-ce un moindre mal ? Car si un smartphone Android rooté fournit effectivement des tas de renseignements sur son activité (comme sur le processus d’émulation), le transfert par Wi-Fi, par la 3G ou par la 4G est loin d’être le premier choix de sécurité.
Il ne fait aucun doute que la sécurité du paiement NFC (sur smartphone, mais aussi en général) sera au centre des attentions dans les années à venir.
Rendez-vous un mercredi sur deux sur Twitch, de 17h à 19h, pour suivre en direct l’émission SURVOLTÉS produite par Frandroid. Voiture électrique, vélo électrique, avis d’expert, jeux ou bien témoignages, il y en a pour tous les goûts !
Arreter votre parano sur le NFC.... Toute carte bancaire actuelle possedent 2 failles de securité bien plus dangereuse : 1/ Le numero de la carte est ecrit dessus en clair et peut servir a payer 2/ Le numero est ecrit sur la piste magnetique en clair egalement Donc OK, le NFC est vulnerable, mais pas plus que les protocoles de paiement historique. Donc vous pouvez securiser tout ce que vous voulez coté NFC, ca revient a poser une porte blindé sur votre maison et a laisser les fenetres grande ouverte.
Salut mich, oui il n'y a pas de SIM ou tout autre module de crypto physique qui serait à même de protéger la clé privée. C'est là où se situe le problème et c'est dommage je trouve.
Non justement l'interet de HCE c'est qu'il est 100% logiciel, plus besoin de savoir si tu a la bonne SIM chez le bon opérateur. Suffit d'installer l'appli de la Banque et ça marche.
c'est claire cette situation est absurde... Mais même si aucune donnée personnelle sont transmises, il faut au moins qu'il y ait une authentification de la carte (pas besoin de l'utilisateur pour ça) afin que le lecteur de carte reconnaisse la carte comme étant une vraie carte et que la carte reconnaisse le lecteur comme étant un vrai lecteur. Pour ça il me semble que l'utilisation d'un module de chiffrement est nécessaire (donc peut-être même pour un badge). Pour le fait que la carte de Corée du Sud permette de faire plusieurs choses en même temps ça ne m'étonne pas. Les puces des cartes à puce sont multi-applicatives c'est à dire qu'elle peuvent embarquer plusieurs services à la fois. Et ça c'est déjà vieux. Donc ça fait longtemps que l'on aurait pu le faire mais pour ça, il faudrait que les gens se mettent d'accord...
moi tout les magasin dans les environs sont nfc les dernier equiper sont super U mais sa marche bien tu met ta carte sur le terminal de paiement et hop accepter et le ticket sort apres faut se metre a jours mais regarder sur votre carte il y a marqué enfin plutot un sigle vers la puce voila et regarder bien autours de vous vous verrai que les magasin on evolué
Ah bon ? Parceque j'ai une PME et mon TPE y a pas de NFC
Dommage j'aimais bien l'idée de John ! J'aurais fais moins d'achat sur internet bizarrement :D
Oui clairement le NFC est juste un transport (qui existe dans les passeports par ex), mais ce qui est incompréhensible, c'est que ces boulets ont utilisé une techno qui n'avais pas besoin de chiffrage (EMV) dans un tuyau qui n'as pas besoin de contact pour être "volé". Dans les téléphones NFC ils doivent présenter un truc ressemblant aux CB. Donc EMV. Donc en clair. Après y a de badges NFC (contrôle d'accès, par ex) mais ils ne présentent aucune données personnelles et sans limites comme la techno EMV. Typiquement le flatnoz des karotz ont juste un numéro de série, après tu en fais ce que tu veux. Personnellement je ne suis pas contre cette techno NFC en général, mais contre la norme EMV sans chiffrage. Denier point, en corée du Sud, la carte NFC est super (j'en ai 2) elle permet a Séoul de payer le transport et certaines boutiques, au contraire de la NFC EMV, on y met du cash dessus, c'est tout.
Ah bon? Parce que même en payant souvent par carte, j'ai encore quasi jamais vu de terminal NFC, et je connais personne qui a une carte NFC... Serais-je dans une région reculée? Ah oui, c'est vrai, on est à 300km de Paris, donc on compte pas. :D
Merci, j'avais vu le rapport de BT. C'est pas vraiment le NFC qui est en cause mais plus les normes de paiement qui reposent dessus. Ce qui est dommage c'est que les banquiers ne se soient pas inspirés de ce qu'il se fait dans le domaine du transport où la transmission est sécurisée depuis plus de 10 ans. Les outils sont là, disponibles : le standard de commande est le même pour tous 7816-4 (quasiment toutes les cartes à puces le supporte) et les modules de crypto (carte sim qui en l'occurence fonctionne en 7816-4). Il ne manque que la volonté des banquiers!
tiens regarde ça tu vas vite comprendre... http://korben.info/les-cartes-bancaires-sans-contact-nfc-ne-sont-pas-securisees.html
Malheureusement, je suis complètement d'accord avec toi. :(
Le problème vient de la norme EMV (donc des banquiers!) qui n'est pas sécure. Et ça, ça fait une mauvaise publicité pour la techno NFC qui n'est en fait qu'un tuyau (qui peut transporté toute sorte de donnée, cryptée ou pas!). Comme rappelé pages 9 et 10 et en conclusion des slides que tu nous fournis, il existe des applications NFC qui sont sécurisées. C'est juste une question de volonté (et d'investissement) d'implémenter correctement l'authentification en utilisant un module de chiffrement électronique (Secure Access Module). Dans un téléphone, il y en a déja un. Ça s'appel une carte sim! :)
Dans la norme NFC bancaire il n'y as pas de chiffrement. Ils utilisent la même norme "EMV" que pour le contact / piste magnétique, c'est ça où se situe le danger. Regardez bien ces slides : http://fr.scribd.com/doc/89942864/Hes2012-Bt-Contact-Less-Payments-In-Security Et vous comprendrez le massive fail des cartes NFC pour le paiement.
Enfin la NFC, c'est bien, mais "sécurisé" par le protocole EMV en clair, c'est sympa pour récupérer les numéros de CB a 15m du terminal de paiement. Le pire c'est que la carte Navigo est facilement 1000 fois plus sécurisé que les cartes bancaires NFC. Comme d'hab vos banquiers ne poussent pas la sécurisation des données, et laissent les assurances faire le reste en cas de piratage. Donc méfiez vous du NFC pour le paiement.
Tu me confonds avec "visiteur" tout court (qui a volé mon pseudo au passage). Donc pour pas qu'on m'associe à ses trolls de fanboy Htc, j'ai mit un "1" à la fin de mon pseudo. Moi j'ai un Moto G :p
Trop peu de smartphones sont compatibles avec le NFC, du coup pas terrible je trouve.
Je crois pas que ce soit le NFC qui soit la cause de problèmes (c'est utilisé depuis plus de 10 ans maintenant) mais plutôt l'utilisation qui en est faite. Le NFC c'est comme internet, c'est un tuyau. Si on y fait passer des informations sensibles en claire ou si l'on implémente pas les bons services d'authentifications (cf: http://en.wikipedia.org/wiki/Challenge%E2%80%93response_authentication#Simple_example_mutual_authentication_sequence) Le souci c'est que sur internet il y a le petit cadena qui te dit si la liaison est sécurisée et à travers NFC je ne sais pas...
En regardant sur le site de gemalto il y a un semblant réponse : https://www.gemalto.com/nfc/myths.html En fait pour le chiffrement ils doivent probablement continuer d'utiliser la carte sim. Il doit donc il y avoir un service dans la carte sim dédié au paiement. Les sim multi-applications existent depuis au moins 2005 et la norme sans contact depuis au moins le début des années 2000. Que c'est lent l'adoption du NFC... C'est certain que ça ouvre plein de domaine intéressant le NFC. Comme ce projet kickstarter pour rester dans le domaine des mobiles : https://www.kickstarter.com/projects/mclear/nfc-ring
Le nfc est partout sauf limiter a 20euro sinon si tu veut plus il faut taper ton code tout les terminaux de payement sont nfc et toutes les nouvelles carte bancaire sont nfc voila
Juste pour te dire mais en Corée et japon il utilise leurs smartphone pour leur carte de bus en nfc dans le metro au magasin partout parait meme qu une loi va passer sur le fait que tout nouveau nee va etre pucer avec une puce nfc pour savoir tout de lui genre carte vital intégrée dans la peau les docteur en bloc opératoire utilise une puce nfc dans leur peau qui leur font ouvrir toute les portes allant au bloc opératoire, comme sa il utilise pas leurs main pour poucer la porte risque de contamination voila le futur
Remarque comme ça : En lisant le fonctionnement de la carte sans contact de la SG, en fait, au delà d'une certains somme (genre 20 euros) ,y'a un code à taper.
A Varsovie tu as des choses bcp plus intéressantes que tout ca, si tu vois ce que je veux dire...
Moi j ai 0 confiance dans le NFC pour ce type d usage. Pas assez sécurisé a mon goût.
Ce qui est dingue, c'est que la France est censée être un pays avancé et qu'on a à peine la 4G et le NFC.
Rooter son téléphone, faire croire à la borne qu'on vient de payer 500€, FAIT !
L'Académie française vient d'appeler. Elle veut que tu arrêtes l'utilisation abusive du mot ''déjà''.
Nice story bro'...
ici a varsovie j'ai deja une carte Sim orange de paiement. je paie déjà avec depuis déjà plusieurs mois. il y a des bornes NFC déjà dans tous les magasins depuis déjà deux ans. ainsi que les cartes bancaires nfc qui sont obligatoires. c'est fou qu'en France ça stagne a ce niveau la. <i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Je crois comprendre ce qui peut faire peur. D'après ce que je lis, une application pourrait se faire passer pour une carte à puce aux yeux d'un lecteur de carte à puce sans contact. C'est à dire que lorsque je rentrerais dans un bus je présenterais mon téléphone à la place de ma carte de bus sans contact. La borne communiquerait avec l'application concernée de mon téléphone comme s'il elle communiquait avec une carte d'abonnement. L'ennui c'est que la sécurité dans l'utilisation d'une carte à puce (si elle est mise en place correctement) repose pour partie sur des données contenues dans la carte à puce : des clés de chiffrement (normalement inaccessibles au commun des mortels). Donc pour reproduire un paiement sécurisé, une connexion à un réseau mobile ou tout ce qui demande une authentification ou du chiffrage, j'imagine qu'il faudrait que ces données soient sur le téléphone et non plus sur une puce dédiée et protégée. Hors si l'on a inventé les "secure access modules" (nom générique pour les cartes sim et autres cartes à puce), c'est aussi pour confier la sécurité à un module électronique non piratable de manière logiciel. Dans ces conditions, je ne pense pas que l'on puisse par ce système se passer de carte bancaire et de carte sim dans son téléphone. Par contre, il serait tout à fait possible techniquement de faire une carte sim qui contiendraient plusieurs services : service d'identification sur le réseau téléphonique, carte de transport, carte de fidélité... Dans ce cas là, la sécurité seraient toujours assuré par le module électronique. Complément d'info: Je n'ai plus pratiqué le sujet depuis un moment mais en général, les cartes à puces sont pilotées par la borne en utilisant un jeu de commandes standard défini par la norme ISO/IEC 7816-4 (noté le chiffre après le tiret). La façon dont les commandes (et les réponses) transitent entre la borne et la carte sont variables. Souvent : - ISO/IEC 7816-3 : carte à puce à contact (carte sim, carte de paiment, ...) - ISO/IEC 14443-4 J'espère que ça peut aider à la compréhension :)
haha bah on volerait tout simplement le téléphone que les cartes bleus :D -------Envoyé depuis l'application Humanoid pour smartphone
Mince, là tu me fait mal...
Tu pourras pas te la péter comme le papy dans la pub :/ http://www.youtube.com/watch?v=xJlZAXBgpBw
Mince, je n'ai pas de NFC sur mon mobile, je ne vais pas pouvoir profiter de cette super mega giga trop cool innovation inédite...!
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix