Illustration by Melanie Colosimo
Les associations bancaires, depuis une bonne décennie, cherchent à encourager l’usage de la petite monnaie numérique, celle qui sert à acheter la baguette de pain ou le journal. Ainsi Moneo, un quasi échec qui n’a pourtant découragé personne, puisque les principaux organismes Européens reviennent sur le sujet par la petite porte et tentent à tout prix d’imposer les payements « sans contact » à l’aide des NFC.
On se souvient, grâce aux travaux de Renaud Lifchitz du manque de sérieux avec lequel les saigneurs de la finance avaient tenté de digérer cette technique dérivée des RFID (eux même piratés de manière quasi industrielle depuis leur création). Puis c’est au tour de Charlies Miller (qui vient de rejoindre les rangs de Twitter) de publier un article ravageur sur la surface d’attaque des NFC. Presque tout est dit dans cet article, le reste n’est qu’extrapolations techniques. A partir de ce moment-là, ou un peu avant, le hack des NFC tombe dans la banalité la plus totale, les failles d’intégration se multipliant proportionnellement au nombre de « promoteurs » souhaitant utiliser ce moyen de payement. La chose était prévisible. Il y a plus d’un an d’ailleurs qu’Eric Butler publiait les premières recherches sur les fuites d’information des cartes de transport RFID grâce aux lecteurs NFC intégrés dans certains téléphones mobiles à base d’Android.
Et voilà que plus récemment, les présentations d’EuSecWest remettent le sujet sur le tapis. Le lecteur NFC est, cette fois, utilisé comme canal d’injection de malware, démonstration réalisée sur un téléphone Galaxy S3 par l’équipe de MWR Labs. Une fois proprement « intrusé », le téléphone peut voir ses données (contacts, sms) pillés et son mécanisme d’appel subverti de telle manière qu’il puisse composer des numéros à facturation élevée.
