La bataille entre hackers et spécialistes de la cybersécurité est-elle perdue d’avance ? Il existe en fait une mesure de sécurité, le Distance-Bounding Protocol (DBP). Grâce à ce protocole délimiteur de distance, un lecteur sans contact qui chronomètre le temps qu’il lui faut pour dialoguer avec une puce NFC, peut théoriquement s’assurer que la personne qui interagit avec lui se trouve bien à quelques centimètres. Une telle vérification permet de bloquer un usurpateur qui, à quelques mètres de là, se ferait passer pour la puce légitime.

« Pour l’instant, à ma connaissance, une seule carte, la Mifare Plus du fabricant NXP, offre ce genre de protection, explique Cristina Onete. Dans notre équipe Sécurité et cryptographie embarquées, à l’Irisa, nous faisons des tests pour savoir si le DBP résiste bien aux attaques par relais. Je ne peux pas encore donner de résultats officiels, mais ce dont on s’aperçoit, c’est qu’il y a un écart important entre ce que décrit la théorie dans la littérature scientifique du DBP et les contraintes en pratique. »

Attaque par relais : la fausse carte effectue le paiement auprès du lecteur en relayant des messages avec l’aide d’un faux lecteur (placé dans la proximité de la carte légitime)

En effet, « la transmission des informations entre la carte NFC et le lecteur se fait selon un standard qui n’est pas compatible avec le temps de transmission exigé pour le DBP », explique la chercheuse néerlandaise. Et pour cause : pour vérifier si la puce se situe bien à proximité immédiate du lecteur, tous deux doivent échanger une information de manière très rapide, théoriquement sous la forme d’un seul bit (0 ou 1). Or le standard de communication ne permet de transmettre que plusieurs octets, soit 8 bits à chaque fois. De ce fait, « le temps de transmission est plus long, et comprend un plus grand risque d’erreur. Alors certes, cela reste très rapide, quelques millisecondes, mais c’est déjà trop pour pouvoir déterminer si vous êtes à côté du terminal ou bien en Chine !, note Cristina Onete. Les expérimentations que nous menons semblent toutefois montrer que, dans la pratique, les échanges d’octets peuvent dans certains cas fonctionner. »

Il reste encore du travail à faire pour augmenter la sécurité contre les attaques par relais.

Aussi, pour Pierre-Alain Fouque et Cristina Onete, « il est très encourageant pour la sécurité que la carte Mifare Plus implante ces contre-mesures. De ce point de vue, c’est la seule carte qui évite partiellement ces attaques. Pourtant, il reste encore du travail à faire pour mieux comprendre et augmenter la sécurité pratique contre les attaques par relais. »

Alors, que faire ? Cristina Onete avoue « limiter ses paiements électroniques à ceux qui prévoient un ou deux moyens d’authentification, par exemple le code de sécurité de ma carte et un code de confirmation envoyé par la banque sur mon téléphone portable ». Pourtant, souligne-t-elle, « la technologie sans contact porte beaucoup de promesses : je suis absolument certaine que, dans le futur, on aura des paiements sécurisés, même sans contact, mais avant, on doit augmenter la sécurité avant d’augmenter ses fonctionnalités ». Car aujourd’hui, la tendance « à pouvoir dépenser son argent de manière plus libre, plus confortable, encourage les fabricants de cartes à ignorer les aspects de sécurité et de vie privée pour offrir plus d’options que leurs concurrents ».