Aujourd'hui pantophile

Vous qui me connaissez savez que je suis pantophile, et dans pantophile il y a aussi râler contre les grandes compagnies qui se fichent un peu beaucoup de leurs clients, usagers, abonnés, etc.

Aujourd’hui, ma banque, la verte avec des étoiles qui joue au tennis les jours de pluie au printemps du côté de Paris.

Au mois de mai dernier, me souvenant que ma carte bleue arrivait à l’automne en fin de validité, j’envoie un message à ma conseillère pour lui demander de s’assurer que la prochaine carte ne contienne pas le nouveau système de paiement à distance absolument secure de chez secure — comme par exemple expliqué ici — en fournissant quelques articles de référence sur les failles connues de ce système. Je reçois quelques jours plus tard une réponse ou celle-ci m’indique qu’elle allait faire remonter la demande … quelque part.

Quelques jours se passent, environ une centaine — oui ils sont utra rapides — et je reçois enfin une belle lettre où j’apprends que ma nouvelle carte que je recevrais bientôt inclura un nouveau système révolutionnaire — qui remplace au passage Monéo, service ultra sécurisé de paiement de petites sommes —, le fameux NFC[1], soit très exactement ce que je ne voulais pas.

Bien sûr j’ai cherché NFC sur le site de ma banque où à part vanter les avantages, nulle mention n’est faire de la sécurité de ce système, cela dit leur site est tellement ergonomique qu’il n’y a nulle part de champ de recherche ce qui rend passablement compliqué mon exploration. Pas mieux d’ailleurs sur le site du GIE carte bancaire, faites l’essai, vous verrez par vous-même, tout ce que j’ai trouvé est un La technologie NFC permettant aux téléphones mobiles de réaliser des transactions sans contact…. Bref, zéro pointé.

Si quelqu’un a des infos complémentaires, voire des infos tout court d’ailleurs, sur la sécurité actuelle de ce système, il sera le bienvenu, j’aimerais vraiment savoir où je mets les pieds si j’accepte leur carte telle quelle. Peut-être ont-ils corrigé ça sauf que je n’arrive pas à trouver d’infos à ce sujet.

Quant à envelopper ma nouvelle CB dans du papier alu et la dépaqueter façon marmotte à chaque fois que je voudrais retirer un peu d’argent au distributeur, comment dire…


J’ai trouvé sur le net un article de la CNIL publié début juillet 2013 à ce sujet dont voici quelques extraits :

les tests réalisés pendant l’été 2012 ont permis de constater qu’il était possible de lire, avec un lecteur NFC (near field communication) indépendant ou intégré à un Smartphone standard, le nom du porteur[2], la liste des transactions réalisées, ainsi que le numéro de la carte et de sa date d’expiration[3].

En gros, les infos utiles pour acheter n’importe quoi sur le net.

La CNIL reste toutefois préoccupée par l’accessibilité du numéro de carte et de la date d’expiration. Bien qu’à sa connaissance, aucune fraude exploitant cette accessibilité n’ait encore été détectée, elle appelle le secteur bancaire à une adaptation constante des mesures de sécurité pour garantir que ces données ne soient pas collectées et réutilisées par des tiers

En gros, y’a encore du boulot…

A cet égard, la CNIL note avec intérêt que certains établissements bancaires fournissent des cartes dont la partie sans contact est désactivée par défaut, pour être activée à la demande du porteur, lequel peut par ailleurs, à tout moment, désactiver à nouveau cette fonctionnalité. Le porteur a ainsi la maîtrise totale de sa carte. La CNIL appelle l’ensemble des établissements bancaires à adopter de telles pratiques vertueuses.

Pourquoi la mienne ne propose pas ça ?

Notes

[1] Ils appellent ça le « paiement sans contact », ça fait moins peur et puis ça rend les recherches à ce sujet plus compliquée j’imagine.

[2] Ce n’est normalement plus le cas à ce jour.

[3] Et il semble qu’il en est de même pour le code de vérification visuel situé au dos de la carte La Société Générale vient de m’apprendre que le code de vérification visuel n’est pas transmis via NFC.

Ajouter un commentaire

Les champs suivis d'un * sont obligatoires

Les commentaires peuvent être formatés en utilisant la syntaxe Markdown Extra.

Ajouter un rétrolien

URL de rétrolien : https://open-time.net/trackback/9754

Haut de page