Mastercard et Visa font un pas de plus vers le paiement NFC par smartphone Android

Arreter votre parano sur le NFC.... Toute carte bancaire actuelle possedent 2 failles de securité bien plus dangereuse : 1/ Le numero de la carte est ecrit dessus en clair et peut servir a payer 2/ Le numero est ecrit sur la piste magnetique en clair egalement Donc OK, le NFC est vulnerable, mais pas plus que les protocoles de paiement historique. Donc vous pouvez securiser tout ce que vous voulez coté NFC, ca revient a poser une porte blindé sur votre maison et a laisser les fenetres grande ouverte.

Salut mich, oui il n'y a pas de SIM ou tout autre module de crypto physique qui serait à même de protéger la clé privée. C'est là où se situe le problème et c'est dommage je trouve.

Non justement l'interet de HCE c'est qu'il est 100% logiciel, plus besoin de savoir si tu a la bonne SIM chez le bon opérateur. Suffit d'installer l'appli de la Banque et ça marche.

[…] MasterCard et Visa font un pas de plus vers le paiement NFC – FrAndroid […]

c'est claire cette situation est absurde... Mais même si aucune donnée personnelle sont transmises, il faut au moins qu'il y ait une authentification de la carte (pas besoin de l'utilisateur pour ça) afin que le lecteur de carte reconnaisse la carte comme étant une vraie carte et que la carte reconnaisse le lecteur comme étant un vrai lecteur. Pour ça il me semble que l'utilisation d'un module de chiffrement est nécessaire (donc peut-être même pour un badge). Pour le fait que la carte de Corée du Sud permette de faire plusieurs choses en même temps ça ne m'étonne pas. Les puces des cartes à puce sont multi-applicatives c'est à dire qu'elle peuvent embarquer plusieurs services à la fois. Et ça c'est déjà vieux. Donc ça fait longtemps que l'on aurait pu le faire mais pour ça, il faudrait que les gens se mettent d'accord...

moi tout les magasin dans les environs sont nfc les dernier equiper sont super U mais sa marche bien tu met ta carte sur le terminal de paiement et hop accepter et le ticket sort apres faut se metre a jours mais regarder sur votre carte il y a marqué enfin plutot un sigle vers la puce voila et regarder bien autours de vous vous verrai que les magasin on evolué

Ah bon ? Parceque j'ai une PME et mon TPE y a pas de NFC

Dommage j'aimais bien l'idée de John ! J'aurais fais moins d'achat sur internet bizarrement :D

Oui clairement le NFC est juste un transport (qui existe dans les passeports par ex), mais ce qui est incompréhensible, c'est que ces boulets ont utilisé une techno qui n'avais pas besoin de chiffrage (EMV) dans un tuyau qui n'as pas besoin de contact pour être "volé". Dans les téléphones NFC ils doivent présenter un truc ressemblant aux CB. Donc EMV. Donc en clair. Après y a de badges NFC (contrôle d'accès, par ex) mais ils ne présentent aucune données personnelles et sans limites comme la techno EMV. Typiquement le flatnoz des karotz ont juste un numéro de série, après tu en fais ce que tu veux. Personnellement je ne suis pas contre cette techno NFC en général, mais contre la norme EMV sans chiffrage. Denier point, en corée du Sud, la carte NFC est super (j'en ai 2) elle permet a Séoul de payer le transport et certaines boutiques, au contraire de la NFC EMV, on y met du cash dessus, c'est tout.

Ah bon? Parce que même en payant souvent par carte, j'ai encore quasi jamais vu de terminal NFC, et je connais personne qui a une carte NFC... Serais-je dans une région reculée? Ah oui, c'est vrai, on est à 300km de Paris, donc on compte pas. :D

Merci, j'avais vu le rapport de BT. C'est pas vraiment le NFC qui est en cause mais plus les normes de paiement qui reposent dessus. Ce qui est dommage c'est que les banquiers ne se soient pas inspirés de ce qu'il se fait dans le domaine du transport où la transmission est sécurisée depuis plus de 10 ans. Les outils sont là, disponibles : le standard de commande est le même pour tous 7816-4 (quasiment toutes les cartes à puces le supporte) et les modules de crypto (carte sim qui en l'occurence fonctionne en 7816-4). Il ne manque que la volonté des banquiers!

tiens regarde ça tu vas vite comprendre... http://korben.info/les-cartes-bancaires-sans-contact-nfc-ne-sont-pas-securisees.html

Malheureusement, je suis complètement d'accord avec toi. :(

Le problème vient de la norme EMV (donc des banquiers!) qui n'est pas sécure. Et ça, ça fait une mauvaise publicité pour la techno NFC qui n'est en fait qu'un tuyau (qui peut transporté toute sorte de donnée, cryptée ou pas!). Comme rappelé pages 9 et 10 et en conclusion des slides que tu nous fournis, il existe des applications NFC qui sont sécurisées. C'est juste une question de volonté (et d'investissement) d'implémenter correctement l'authentification en utilisant un module de chiffrement électronique (Secure Access Module). Dans un téléphone, il y en a déja un. Ça s'appel une carte sim! :)

Dans la norme NFC bancaire il n'y as pas de chiffrement. Ils utilisent la même norme "EMV" que pour le contact / piste magnétique, c'est ça où se situe le danger. Regardez bien ces slides : http://fr.scribd.com/doc/89942864/Hes2012-Bt-Contact-Less-Payments-In-Security Et vous comprendrez le massive fail des cartes NFC pour le paiement.

Enfin la NFC, c'est bien, mais "sécurisé" par le protocole EMV en clair, c'est sympa pour récupérer les numéros de CB a 15m du terminal de paiement. Le pire c'est que la carte Navigo est facilement 1000 fois plus sécurisé que les cartes bancaires NFC. Comme d'hab vos banquiers ne poussent pas la sécurisation des données, et laissent les assurances faire le reste en cas de piratage. Donc méfiez vous du NFC pour le paiement.

Tu me confonds avec "visiteur" tout court (qui a volé mon pseudo au passage). Donc pour pas qu'on m'associe à ses trolls de fanboy Htc, j'ai mit un "1" à la fin de mon pseudo. Moi j'ai un Moto G :p

Trop peu de smartphones sont compatibles avec le NFC, du coup pas terrible je trouve.

[…] Mastercard et Visa font un pas de plus vers le paiement NFC par smartphone Android https://www.frandroid.com/smartphone/195936_mastercard-visa-font-pas-de-plus-vers-le-paiement-nfc-par… […]

Je crois pas que ce soit le NFC qui soit la cause de problèmes (c'est utilisé depuis plus de 10 ans maintenant) mais plutôt l'utilisation qui en est faite. Le NFC c'est comme internet, c'est un tuyau. Si on y fait passer des informations sensibles en claire ou si l'on implémente pas les bons services d'authentifications (cf: http://en.wikipedia.org/wiki/Challenge%E2%80%93response_authentication#Simple_example_mutual_authentication_sequence) Le souci c'est que sur internet il y a le petit cadena qui te dit si la liaison est sécurisée et à travers NFC je ne sais pas...

En regardant sur le site de gemalto il y a un semblant réponse : https://www.gemalto.com/nfc/myths.html En fait pour le chiffrement ils doivent probablement continuer d'utiliser la carte sim. Il doit donc il y avoir un service dans la carte sim dédié au paiement. Les sim multi-applications existent depuis au moins 2005 et la norme sans contact depuis au moins le début des années 2000. Que c'est lent l'adoption du NFC... C'est certain que ça ouvre plein de domaine intéressant le NFC. Comme ce projet kickstarter pour rester dans le domaine des mobiles : https://www.kickstarter.com/projects/mclear/nfc-ring

Le nfc est partout sauf limiter a 20euro sinon si tu veut plus il faut taper ton code tout les terminaux de payement sont nfc et toutes les nouvelles carte bancaire sont nfc voila

Juste pour te dire mais en Corée et japon il utilise leurs smartphone pour leur carte de bus en nfc dans le metro au magasin partout parait meme qu une loi va passer sur le fait que tout nouveau nee va etre pucer avec une puce nfc pour savoir tout de lui genre carte vital intégrée dans la peau les docteur en bloc opératoire utilise une puce nfc dans leur peau qui leur font ouvrir toute les portes allant au bloc opératoire, comme sa il utilise pas leurs main pour poucer la porte risque de contamination voila le futur

Remarque comme ça : En lisant le fonctionnement de la carte sans contact de la SG, en fait, au delà d'une certains somme (genre 20 euros) ,y'a un code à taper.

[…] https://www.frandroid.com/smartphone/195936_mastercard-visa-font-pas-de-plus-vers-le-paiement-nfc-par… […]

A Varsovie tu as des choses bcp plus intéressantes que tout ca, si tu vois ce que je veux dire...

Moi j ai 0 confiance dans le NFC pour ce type d usage. Pas assez sécurisé a mon goût.

Ce qui est dingue, c'est que la France est censée être un pays avancé et qu'on a à peine la 4G et le NFC.

Rooter son téléphone, faire croire à la borne qu'on vient de payer 500€, FAIT !

L'Académie française vient d'appeler. Elle veut que tu arrêtes l'utilisation abusive du mot ''déjà''.

Nice story bro'...

ici a varsovie j'ai deja une carte Sim orange de paiement. je paie déjà avec depuis déjà plusieurs mois. il y a des bornes NFC déjà dans tous les magasins depuis déjà deux ans. ainsi que les cartes bancaires nfc qui sont obligatoires. c'est fou qu'en France ça stagne a ce niveau la. <i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>

Je crois comprendre ce qui peut faire peur. D'après ce que je lis, une application pourrait se faire passer pour une carte à puce aux yeux d'un lecteur de carte à puce sans contact. C'est à dire que lorsque je rentrerais dans un bus je présenterais mon téléphone à la place de ma carte de bus sans contact. La borne communiquerait avec l'application concernée de mon téléphone comme s'il elle communiquait avec une carte d'abonnement. L'ennui c'est que la sécurité dans l'utilisation d'une carte à puce (si elle est mise en place correctement) repose pour partie sur des données contenues dans la carte à puce : des clés de chiffrement (normalement inaccessibles au commun des mortels). Donc pour reproduire un paiement sécurisé, une connexion à un réseau mobile ou tout ce qui demande une authentification ou du chiffrage, j'imagine qu'il faudrait que ces données soient sur le téléphone et non plus sur une puce dédiée et protégée. Hors si l'on a inventé les "secure access modules" (nom générique pour les cartes sim et autres cartes à puce), c'est aussi pour confier la sécurité à un module électronique non piratable de manière logiciel. Dans ces conditions, je ne pense pas que l'on puisse par ce système se passer de carte bancaire et de carte sim dans son téléphone. Par contre, il serait tout à fait possible techniquement de faire une carte sim qui contiendraient plusieurs services : service d'identification sur le réseau téléphonique, carte de transport, carte de fidélité... Dans ce cas là, la sécurité seraient toujours assuré par le module électronique. Complément d'info: Je n'ai plus pratiqué le sujet depuis un moment mais en général, les cartes à puces sont pilotées par la borne en utilisant un jeu de commandes standard défini par la norme ISO/IEC 7816-4 (noté le chiffre après le tiret). La façon dont les commandes (et les réponses) transitent entre la borne et la carte sont variables. Souvent : - ISO/IEC 7816-3 : carte à puce à contact (carte sim, carte de paiment, ...) - ISO/IEC 14443-4 J'espère que ça peut aider à la compréhension :)

haha bah on volerait tout simplement le téléphone que les cartes bleus :D -------Envoyé depuis l'application Humanoid pour smartphone

Mince, là tu me fait mal...

Tu pourras pas te la péter comme le papy dans la pub :/ http://www.youtube.com/watch?v=xJlZAXBgpBw

Mince, je n'ai pas de NFC sur mon mobile, je ne vais pas pouvoir profiter de cette super mega giga trop cool innovation inédite...!