Share
Une application Android pour pirater les cartes bancaires à distance

Une application Android pour pirater les cartes bancaires à distance

La technologie NFC promet de faciliter notre vie, en permettant par exemple le paiement par carte bancaire sans contact avec un terminal, jusqu’à 10 mètres de distance.

Déjà qu’il a été démontré qu’il était facile d’accéder aux informations d’une carte bancaire NFC avec un ordinateur et un lecteur NFC USB, la sortie d’une application pour smartphones Android avec un lecteur NFC intégré (soit la plupart des nouveaux modèles haut de gamme) montre à quelle point notre vie privée et nos informations bancaires peuvent être accessibles à n’importe qui…

En effet, nul besoin d’être un hacker de haut-vol pour installer l’application Paycardreader sur son smartphone et commencer à scanner les cartes bancaires compatibles NFC…

En quelques minutes dans le métro par exemple, vous pourriez facilement accéder aux numéros des cartes de vos voisins de wagons, à leurs noms et prénoms, à la date de fin de validité de leurs cartes et même aux montants des dernières transactions effectuées oO

Je vous laisse imaginer les possibilités tout simplement hallucinantes que peuvent donner ce genre de détournement de la technologie NFC : facile pour une personne mal intentionnée de récupérer des centaines d’informations bancaires et personnelles en restant à un endroit très passant. Il suffit de posséder un smartphone Android compatible NFC avec l’application, et la collecte de données peut démarrer… Et pas besoin de vous coller aux portefeuilles et aux sacs à main des inconnus, puisque le NFC permet la communication des données à une distance confortable.

Quelles sont actuellement les solutions pour vous protéger ?

L’utilisation d’un porte-carte en métal, barrant la route au NFC, peut déjà être envisageable pour éviter les fuites de données. N’hésitez pas non plus à demander carrément la désactivation du NFC sur votre carte à votre banque.

Si l’application Paycardreader n’aura pas fait long feu sur le store Google Play ou sur GitHub, l’ami Cachem a réussi à mettre la main sur le code source de l’appli Android pour que vous puissiez voir de quoi il retourne.

Nul besoin de vous dire que si vous en faites une utilisation frauduleuse, vous risquez d’avoir de gros ennuis avec la justice…

Source

49 Commentaires sur cet article

  1. ouh lala que de facilités :

    1/ le NFC c’est jusqu’à 14cm grand maximum (en général réduit à 4cm)
    je te l’accord certaines puces rfid (dont le nfc repose) peuvent fonctionner jusqu’à 10m (voir 100m selon la norme)notamment dans les magasins avec mes anti vols par exemple.

    2/ scanner l’id oui c’est assez simple: le décoder… là tu t’attaque au système de visa et mastercard (autant dire un des plus sécurisé au monde)

    3/ le réutiliser… il ne faut même pas y pense vu le nombre de contrôles qui sont réalisés lors de la transaction : un id visa nfc est lié à une carte/mobile et un n° de téléphone…donc là encore quasi impossible à réutiliser.

    en gros cette application te sort un numéro du genre 6d4sf6ds5f46zef4qz6f4qez6f4qze6f46zeq4f8zeq dont tu ne peux rien faire… 😉

    Répondre
  2. ok je vois ta source.
    Concernant wikipedia… bah voilà quoi 😉
    le document du chercheur a bien été transmis il y a 2 mois à Visa et MasterCard (donc corrigé)

    Répondre
  3. Je confirme : avec un antenne on peut bien atteindre 15m de portée pour du sniffing de NFC 😉

    Et bien que le document ait été transmis aux intéressés il y a 2 mois, aucune communication d’un comblement de la faille n’a été fait !

    Répondre
  4. je suppose que de 1/ le document est passé relativement inaperçu auprès du grand public 2/ pas sûr qu’ils aiment avouer qu’il y avait une faille

    ok pour l’antenne mais là ce n’est plus la puce nfc originelle

    Répondre
    • Oui du coup faut amener un peu plus de matos supplémentaire dans un sac à dos, je te l’accorde 😉

      Pour la communication, je doute que les possesseurs de cartes bancaires NFC en France ait subit un rappel de leur carte présentant cette énorme faille.

      Répondre
      • Beaucoup, moi y compris, changeons de CB tous les ans. Cela permet d’avoir une carte neuve qui possède les dernières corrections. :p

        Répondre
        • +1, en plus : une feuille d’alu pliée en 2 dans le larfeuille protège des pirates.
          Testé et validé \o/

          Répondre
        • Lou fano

          Salut,
          ok pour les dernières corrections, mais aussi les dernières failles (aucune protection à la sortie du dispositif -2012 ?, et évidemment, tout le monde s’est fait refiler cette « avancée » technologique sans avoir rien demandé et souvent sans mlême en être prévenu !!!
          Ah les banquiers… de toute manière, quand bien même ils se plantent, l’état (nous) paiera la facture à grand coup de millions (milliards…) ;-( Non ???

          Répondre
  5. En tout cas j’en ai pas entendu parlé… 😉

    Répondre
  6. Encore un article qui encourage la fraude et l’escroquerie…

    Répondre
  7. alors je viens de compiler l’appli…
    j’ai pas de carte de credit pour essayer, mais ca scanne ma carte de cantine

    Répondre
  8. PhilGourgand

    J’ai eu la malchance d’avoir une nouvelle carte Mastercard par ma banque le mois dernier.
    Celle-ci compatible NFC avait 2 inconvénients:
    – la mauvaise sécurisation du NFC bancaire (Korben en avait parlé°
    – incompatible avec la carte de transport Lyonnais TCL (le signal nfc de la carte était bloqué par ma CB dans mon porte feuille)

    Ma banque à accepté de me changer ma carte pour un modèle standard après avoir argumenté et prouvé que mes infos bancaire étaient lisible en clair depuis mon Galaxy S2 Citizy

    Répondre
  9. Poison911

    Je vois déjà les articles polémiques qu’on risque de voir avec cette techno.
    Du genre le petit fils de mme Michu à hacké la carte de sa mamie pour aller voir du pr0n et se réabonner à son jeux-vidéo sur internet.
    (Ca va pas aider à responsabiliser les ados tout ça)

    Répondre
  10. Louis Cypher

    et tu le snif avec quoi à 15 mètres ton NFC, parce que juste une antenne en plus, ça me parait un peu limite comme matos..! :-s

    Répondre
  11. Hellcat

    Le NFC c’est en émission ou en écriture aussi ?

    Ya pas moyen de hacker des cartes de transports avec ça aussi ?

    Répondre
  12. « le document du chercheur a bien été transmis il y a 2 mois à Visa et MasterCard (donc corrigé » LOL, toi tu crois au licornes.

    Répondre
  13. Raaa zut), apparement seul les galaxie note US ont le nfc…

    Répondre
  14. Heu.. il me semble que 15 mètres c’est la portée du rayonnement de la carte lors d’une transaction. C’est apparemment le seul moment de vulnérabilité, puisque, le reste du temps, la distance de quelques centimètres serait rédhibitoire. Même si des hacks de bluetooth déjà effectués peuvent laisser penser que ce genre de portée peut être considérablement augmentée, mais là ça supposerait beaucoup plus de bidouille qu’une appli Android. Ceci dit le moment de la transaction c’est déjà une vulnérabilité de trop, bien sûr.

    Source : conférence d’un mec à Pas Sages En Seine 2012 (je suppose que c’est le chercheur dont vous parlez)
    http://lacantine.ubicast.eu/videos/paf-la-carte-nfc/

    Répondre
  15. La « faille » (qui n’est clairement pas considérée comme telle par les sociétés telles que Visa et Mastercard) est connue depuis 2006. Le problème vient du concept lui-même de contact-less appliqué à un protocole de paiement tel qu’il est dans nos commerces. Selon, moi c’est juste impossible à réaliser de manière sécurisée.
    Depuis, j’ai vu la news resurgir chaque fois par l’impulsion d’un chercheur s’en appropriant la découverte, c’est pathétique… :

    [0] http://www.nytimes.com/2006/10/23/business/23card.html
    [1] http://www.cbc.ca/news/technology/story/2010/05/31/f-rfid-credit-cards-security-concerns.html
    [2] et finalement ta source.

    La faille est grave, mais si on relativise, la manière d’utiliser VISA aux états-unis par exemple (cad sans puce ni sans code, d’où un acces physique de qq secondes suffit à copier une carte) est juste tout aussi invraisemblale…

    Répondre
  16. mais comment c’est possible

    Répondre
  17. Charles

    La puce NFC a besoin d’un courant d’alimentation qui lui est transmise par induction seulement lors du paimant alors la « lecture » ne peut se faire qu’a un certain moment les chances que ces signaux soit captés sont relativement minces.

    Répondre
  18. Je me permets (travaillant dans la RFID) juste une petite précision, pour les 15m … c’est tout simplement impossible 😉

    Répondre
  19. Exact pour le RFID…
    Dés fois au dela de 5/6 Cm ca passe pas (carte de transport au fond du sac a dos par exemple)

    La je teste avec mon android device et ca marche vraiment a bout portant…

    Et ne pas rire aucune de mes cartes de transports Sncf (Paca/Midi Pyrénées) ne sont lisibles, alors que ma Visa de la caisse d’épargne a quelques infos en clair…

    Répondre
  20. stoprfid

    Toutes les cartes donnent des informations, dont des parties peuvent être cryptées MAIS certains « chercheurs en sécurité » trouvent de plus en plus souvent la façon de le lire, ou la clé, de façon complète ou partielle.

    Croire les cartes a priori « illisibles » est une bien belle erreur.

    Quoi qu’il en soit il existe une protection de qualité (pas besoin d’acheter chi*ois!) ici par exemple http://www.stop-rfid.fr

    Répondre
  21. Pfff Steph… C’est normal que seul ta carte de paiement soit en parties lue.
    L’application ne connait que des application ID de paiment 😉

    Répondre
  22. on peut peut-etre réecrée le logiciel puisqu’on as le code source. moi je vais essayé en tout cas

    Répondre
  23. contre les risques NFC exitent des porte-cartes/portefeuille « blindés NFC », style ôgon par ex ; en attendant mieux

    Répondre
  24. elvislukeba

    mainant je comprend il fallait avoir un carte de credit compatible nfc.

    Répondre
  25. comment pourrais on l’utiliser svp

    Répondre
  26. et comment fabrique ton cette antenne pour atteindre la portée de 15m merci de me repondre le plus tot possible

    Répondre
  27. Je viens de tester l’appli avec une carte bancaire CA MasterCard NFC, ça ne fonctionne pas, la carte n’est pas reconnue.

    Répondre
  28. bakhitior

    C est quoi le nom d application ?

    Répondre
  29. J’ai installé l’appli, mais elle me dit « card type is unknow »….

    Je n’ai actuellement jamais réussi a lire le contenu de ma CB….

    Répondre
  30. Laurent

    Ok
    Mais toutes les données citées ne sont pas du tout critiques.
    nom prénom -> écrit sur la carte
    numéro de carte -> écrit sur la carte
    date d’expi -> écrit sur la carte
    dernières transactions -> mouai a part pour avoir les habitudes de qqun ca ne sert pas à grand chose
    Aucunes de ces données n’est sensibles.
    Je bosse dans la crypto et je peux te dire que tous le monde se fout complètement d’une pauvre aplli qui affiche sur un écran ce qu’il y a d’écrit sur une carte.
    Avis perso : Il y aura vraiment un problème le jour ou le certificat de la carte à puce pourra être extrait (au sens des la partie privée) ou alors la divulgation du code PIN (ce qui est humainement impossible).
    Volé une carte et faire des achats sur internet -> c’est possible
    Volé des billets et faire des achats dans des magasins -> c’est possible

    Donc il n’y a aucunes failles

    Répondre
    • LAURENT, si tu bosses dans la crypto, comme tu le dis, si j’étais ton boss, tu serais mis à la porte direct !
      Le nom, le prénom, le numéro de la carte, la date d’expiration, … sont écrits sur la carte, bien sûr. Si on met la main dans la poche de ta veste pour y prendre ton portefeuille, c’est clair, tu te fais voler toutes ces informations… et si tu fais attention, tu peux peut-être déjouer les plans d’un pick-pocket…
      Mais le vrai problème, c’est que quiconque s’approche de toi avec un lecteur NFC te pique ces informations à ton insu et ça, tu ne peux absolument pas être au courant de ce vol. Et comme les banques ne suggèrent à aucun client de mettre leur carte dans de l’alu, c’est véritablement une grosse faille.
      Donc tu pourras mettre au point les meilleurs algos de cryptographie, du RSA avec une clé de 8192 bits ou je ne sais quoi, ces informations sont en clair sur les cartes NFC et elles suffisent à aller faire un achat sur n’importe quel site de vente à distance.

      Répondre
  31. Solo Speed

    du n’importe quoi!!!!
    la plus part des carte sont belles et bien lissible!!!!
    avec un bon matos avec des ordi super puissant ont peux bien casse le chiffrement!!!
    reste a voir si cela vaut vraiment la peine d’investir dans du matos pour la plupart des cartes sur lesquelles tu ne trouvras que quelque centaine d’euro!!!!!

    Répondre
  32. Vous pouvez tester votre carte avec cette application Android (https://play.google.com/store/apps/details?id=com.github.devnied.emvnfccard)

    Répondre
  33. rien est impossible avec
    01110011101001

    Répondre
  34. richardo

    Je veux savoir le nom apps hacker

    Répondre
  35. jler1

    Et les cartes a codes dynamique avec batterie ? donc on devrait capter plus loin le rfid

    Répondre

Laisser un commentaire