Retour aux actualités
Article suivant Article précédent

Revue TELECOM 179 - Sécurité et NFC

Articles Revue TELECOM

-

15/01/2016




SECURITE ET NFC






Par Olivier Savry et Pierre-Henri Thevenon dans la revue TELECOM n° 179
 
Cet article présente les vulnérabilités connues des systèmes sans contact ainsi que les solutions existantes. Dans le cadre de celui-ci, nous nous intéresserons uniquement à la sécurité de la couche physique des cartes bancaires NFC.

La couche physique des systèmes sans contact

Les systèmes de paiement sans contact de type NFC (Near Field Communication), cartes sans contact ou smartphones, utilisent la composante champ proche des ondes électromagnétiques pour communiquer. Cette technologie, issue de celle des cartes à puce sans contact, a été proposée en 2002 par Philips et Sony dans le cadre de l'ECMA. Elle répose sur la juxtaposition de deux de leurs produits phare sans contact ; les cartes Mifare et Felica. La technologie NFC a été étendue et est maintenant basée sur la totalité de la technologie des cartes à puce sans contact dont l'ISO 14443 et l'ISO 15693. Les applications de paiement NFC utilisent le standard ISO 14443 comme couche physique. Cette technologie utilise la bande ISM à 13,56 MHz. Son intérêt applicatif  principal est qu'il faut rapprocher les deux dispositifs qui doivent communiquer entre eux à moins de 10 cm pour démarrer une transmission. Cette contrainte est nécessaire pour prouver l'acte volontaire de la tansaction.

Un dispositif NFC peut fonctionner selon deux modes : actif, le dispositif est alors alimenté sur batterie et peut donc émettre un champ électromagnétique, ou passif, le dispositif est télé alimenté par la composante magnétique du champ électromagnétique ambiant. Par ailleurs un dispositif NFC a trois modes de fonctionnement différents : le mode émulateur lecteur (le dispositif NFC est capable de lire d'autres dispositifs NFC). Le mode émulateur carte (le dispositif NFC est capable de répondre à un lecteur NFC) et le mode " peer to peer " d'échange direct entre deux dispositifs NFC.

Un smartphone NFC pourra donc tenir le rôle d'émulateur lecteur ou d'émulateur carte alors que les cartes sont uniquement passives.

Comme la majorité des systèmes de transmission utilisant les ondes radiofréquences comme canal de communication, les données échangées entre les deux dispositifs NFC peuvent être espionnées. Une particularité des systèmes sans contact passifs est qu'ils peuvent être activés à l'insu de porteur dès qu'un lecteur en activité est à proximité.

Les couches protocolaires supérieures sont celles de la carte à puce à contact dont l'ISO 7816. Pour le paiement bancaire plusieurs protocoles sécurisés ont été déployés dont le plus utilisé est le standard EMV.

Ces protocoles de haut niveau étant fortement sécurisés, nous nous intéresserons dans la suite de cet article plus particulièrement à la couche physique.

Les attaques utilisant le lien radiofréquence

Globalement, le concepteur de produits sécurisés de type NFC doit mettre en place deux types de protection :

a) celles qui visent à protéger le business de l'opérateur et à préserver les intérêts de son client

b) celles qui visent la protection des données personnelles de l'utilisateur. Comme aucun dispositif de sécurité ne peut garantir au niveau de protection à 100%, le concepteur recherche le meilleur compromis entre le coût de cette protection et le taux de fraude.
La couche physique des dispositifs NFC permet d'initier la communication. Elle utilise des trames en clair : en effet à ce stade de l'établissement de la communication, les messages ne peuvent encore être chiffrés. Il faut au préalable identifier une carte, voire le lecteur, établir le canal de communication avec elle, puis, sis nécessaire, chiffrer les messages. Si on compare le lien sans contact au lien avec contact, on peut noter trois différences majeurs :

1) la carte se trouve dans le champ électromagnétique à une distance à priori proche du lecteur

2) la carte, étant passive, s'active automatiquement au voisinage d'un lecteur

3) il peut y avoir plusiquers cartes dans le volume opérationnel du lecteur

Comme on va le voir, ces caractéristiques propres au NFC peuvent être utilisées par un attaquant pour frauder ou perturber le système. On distingue alors trois frandes familles d'attaques :

a)  Les attaques par observations dites passives : dans ce cas l'attaquant se contente d'écouter le système sans le perturber. Il cherche à récupérer de l'information soit par analyse des messages échangés (interception classique des transmissions radio), soit par analyse des canaux cachés. Dans le premier cas, il ne pourra pas récupérer une information utile s'il ne possède pas la clé de chiffrement. Dans le deuxième cas, il cherche à récupérer la clé de chiffrement par analyse de la consommation du circuit intégré lors du calcul cryptographique.

b) Les attaques par perturbations dites actives : dans ce cas l'attaquant perturbe le système pour le mettre dans un état de fonctionnement qui lui soit favorable. Il s'agit soit d'activer la carte à distance à l'insu du porteur, soit d'introduire un relais pour augmenter la distance de fonctionnement entre une carte et un lecteur, soit de mettre un dispositif d'interception et de modification des messages (Man in the Middle), soit encore de provoquer des fautes dans le canal de transmission en espérant changer favorablement le montant de la transaction.

c) Les attaques par déni de service : il s'agit pour l'attaquant  soit d'empêcher le système de fonctionner correctement, soit carrément de détruire un de ses sous-systèmes tel que l'antenne ou les transistors d'entrée du bloc radiofréquence.

Les contre-mesures implémentées dans les produits

En ce qui concerne les attaques par observation, la distance de travail des dispositifs NFC rend les possibilités d'écoute et d'interception difficiles à mettre en oeuvre. En fait le protocole de création du canal de communication, même s'il est en clair, ne donne aucune information sensible, d'autant plus que maintenant les numéros d'identification des cartes ont été anonymisés. Par ailleurs, l'interception des messages chiffrés des couches protocolaires supérieures ne présentent aucun intérêt si on ne dispose pas de la clé. Il est théoriquement possible en analysant les variations d'amplitude de la rétro modulation de la carte pendant le calcul de chiffrement de remonter à la clé si la conception de la puce a été négligée sur ce point. Dans la pratique, d'une part les circuits intégrés des cartes implémentent depuis une vngtaine d'années des protections très efficaces contre les attaques par canaux cachés et d'autre part, ces attaques nécessitent l'enregistrement d'un nombre de traces incompatible avec une attaque qui doit rester discrète sur le terrain. Notons aussi qu'il existe des étuis de protection permettant de ranger sa carte entre deux feuilles de métal afin d'empêcher le couplage électromagnétique lorsque l'on ne se sert pas de celle-ci.

On ne peut mallheureusement pas faire grand-chose contre les attaques par déni de service, le coût de leur détection et de leur prévention étant sans commune mesure avec le coût des 
produits NFC. Mais le monitoring d’un lecteur peut permettre de conclure à une attaque de ce type et déclencher une alarme au niveau de l’infrastructure. En revanche sur le plan technicoéconomique, il n’est pas réaliste de se protéger contre l’agression physique destructive portée sur une carte. Notons cependant, qu’à part la gêne de ne plus avoir accès au service, voire d’avoir à remplacer le dispositif, il n’y a pas d’autres conséquences dommageables pour l’opérateur du service ou l’utilisateur.
 

Actuellement en ce qui concerne la famille d’attaques actives, l’activation à distance ne permet pas de récupérer des informations pertinentes. En effet, les informations manipulées avant authentification forte et démarrage de la transaction chiffrée ont été d’une part réduite à leur plus simple expression et d’autre part complètement anonymisées. Les attaques de type Man in the Middle sont extrêmement difficiles à mettre en place car elles doivent être temps réel et s’affranchir des contraintes de chiffrement et d’intégrité. Elles exigent en générale l’étude et la mise en place d'équipements complexes, couteux et opérés par des personnes aux compétences très pointues et multiples.

Dans cette catégorie d’attaques, il reste cependant l’attaque relais avec sa puissance intrinsèque : elle met en relation deux dispositifs qui sont faits pour dialoguer ensemble et qu’aucune couche protocolaire de haut niveau aussi sécurisée soit elle ne peut détecter.

La protection contre les attaques relais

Sur le plan fonctionnel l’attaque relais est quasiment sans effet visible. Les deux dispositifs que l’on relaie, une vraie carte et un vrai terminal de paiement sont conçus pour fonctionner ensemble. Un lecteur ayant détecté la réponse d’une carte ne dispose d’aucun autre moyen technique pour vérifier l’authenticité physique du dispositif électronique qui est dans son champ électromagnétique et qui vient de lui répondre correctement.

Remarquons que les dispositifs électroniques permettant potentiellement de réaliser une attaque relais sont aujourd'hui disponibles en grandes quantités et à faible coût. En effet un smartphone NFC avec ses communications BlueTooth, Wi-Fi et cellulaire ne requiert plus théoriquement qu'un expert en programmation pour développer un relais, expert très pointu cependant.


Heureusement pour le concepteur d'un système sécurisé NFC, l'attaque relais aura toujours un défaut fondamental : elle ne peut qu'augmenter le temps de reponse du système. La solution consiste donc à bien monitorer les timeout du protocole ISO 14443 si cela est suffisant, ou alors à chronométrer finement les temps de réponse et à détecter le franchissement d'un seuil qui sera défini après la calibration du système une fois déployé. Pour s'assurer que le temps chronométré correspond bien à un aller/retour dans le canal de transmission incluant le relai il faut aussi vérifier que c'est bien la bonne carte qui répond au lecteur et non la partie du relai présente dans le champs de ce dernier.


L’implémentation du chronométrage fin ne peut se faire, d’une part, qu’au niveau de la couche physique, et d’autre part que lorsque les deux dispositifs en relation se sont mutuellement authentifiés. Cette protection demande donc la modification du sous-ensemble lecteur et du sous-ensemble carte. Comme elle étend les fonctionnalités de la couche physique, elle nécessite aussi un amendement de la norme ISO 14 443, voire des autres standards tels que Felica et ISO 15 693.

On notera cependant que l’attaque relais est quasiment impossible à mettre en place dans la pratique sur la voie publique car il faut généralement deux personnes pour la mettre en œuvre. L’une doit se présenter devant le terminal de paiement sous le regard du vendeur et l’autre être proche d’une victime portant une carte de paiement NFC et ce avec une parfaite synchronisation, alors que ces deux personnes ne sont pas forcément en vue directe, au moment du geste de paiement qui est dorénavant très bref avec l’arrivée du « tap-and-pay ». Enfin cette attaque relais restera confinée de toute façon aux petits montants, les paiements de montants supérieurs à 20 € exigent de taper le code PIN..

 

Biographie des auteurs

Pierre-Henri THEVENON : Chercheur au département Systèmes du CEA LETI. Il est l'auteur d'une thèse sur la sécurité de la couche physique des systèmes sans contact de type RFID et NFC. Depuis 3 ans, il travaille sur le développement et la conception de systèmes embarqués innovants dans le cadre de contrats de recherche pour des applications industrielles.
 


Olivier SAVRY : Chercheur au département Systèmes du CEA LETI. Il mène depuis une dizaine d'années des travaux sur la sécurité des systèmes embarqués. Ses contributions sont liées à la spécification de contre-mesures, à la cryptographie légère et à la préservation de la vie privée dans les systèmes RFID. 


 

357 vues Visites

J'aime

Commentaires0

Veuillez vous connecter pour lire ou ajouter un commentaire

Articles suggérés

Articles Revue TELECOM

Quels rôles jouent les technologies numériques dans l’évolution de la médecine du travail ? Groupe Santé#196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril

Articles Revue TELECOM

Le numérique au service de la décarbonisation #196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril

Articles Revue TELECOM

DC Brain nommé au prix de la croissance #196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril