Le « sans contact » sur une carte bancaire est là dès que le logo est présent. Et il peut permettre à qui trouve la carte — voire cherche à la lire à travers une poche par exemple dans les transports en commun — d’obtenir des informations que le porteur n’a pas forcément envie de rendre publiques.

Les banques font le forcing pour nous imposer les cartes avec « paiement sans contact ». Ainsi lors du renouvellement de ma carte en 2014, la procédure fut :

  1. Fourniture d’une nouvelle carte avec NFC, et même numéro que l’ancienne

  2. À ma demande 1 à 2 semaines plus tard fourniture d’une autre carte, avec un autre numéro, prétendue sans NFC bien qu’elle en porte le logo

Ainsi, pour répondre à ma demande (faite bien avant le renouvellement) j’ai du jongler avec les cartes et arbitrairement changer le numéro de ma carte [1], ce qui semble une procédure faite pour décourager les clients de demander cette carte privée de sans contact.

À ce moment j’en était resté là, jusqu’à être témoin de l’indélicatesse d’un commerçant qui voulu utiliser cette fonctionnalité sans me demander mon avis et me déclara que ma carte « était en panne »[2].

Suite à plusieurs discussions, et profitant du fait que mon employeur me fournit un téléphone muni de la fonction NFC, je me suis penché sur les informations lisibles sur ma carte. Voici ce qu’un survol rapide m’a appris.

Matériel et logiciel utilisé

  • La carte bancaire est une Visa Premier, fournie par la Banque Populaire, et fabriquée par Gemalto

  • Le téléphone utilisé pour lire la carte en NFC est un Samsung Galaxy S4 Mini

  • Le logiciel utilisé est lecteur de carte bancaire NFC, logiciel gratuitement disponible sur l’appstore android

Informations lues

Le logiciel présente les informations lues sous la forme de 3 onglets

Infos cartes

Sur cette onglet on voit :

  • Le numéro de la carte

  • Sa date d’expiration

  • Le fait qu’il s’agit d’une carte Visa

Dans les informations avancées, on trouve

  • l’AID de la carte (identifiant de l’application de paiement)

  • Le fait qu’il s’agit d’une carte Visa

  • Le fait que l’application EMV sur la carte est fournie par Visa

  • Le nombre de tentatives restant pour entrer le code

  • La banque émettrice.

Transactions

Dans cet onglet on voit un ensemble de transactions : date, pays, montant, et "Cryptogram" (le même sur toutes les transactions visibles sur ma carte). Je ne sais pas à quoi correspond ce champ "Cryptogram", qui n’est pas le CVV (heureusement !)

Notons que je n’y ai pas vu les dernières transactions, mais uniquement celles faites pendant un voyage aux Pays-Bas.

Logs binaires

On retrouve dans cet onglet la suite d’échanges d’octets entre la carte et l’application. Cela permet à quelqu’un muni de connaissances sur EMV et les systèmes de fichiers de carte d’interpréter ce que le programme n’a pas su interpréter, ou n’a pas présenté, par exemple on peut y trouver l’ATC (compteur de transactions).

Conclusion

Même si la carte dévoile ainsi assez peu d’informations, certaines sont potentiellement dangereuses (ainsi donner la provenance et la version exacte de la carte pourrait donner une information susceptible d’intéresser un pirate connaissant une attaque sur cette version précise d’application)

Le log de transactions lui est une pure violation de la vie privée du porteur. Lieu, montant, sont des informations éminemment privées qui ne devraient pas être ainsi distribuées à tout vent. Il semble que les transactions françaises ne soient pas logguées au contraire des transactions dans certains autres pays : pourquoi ?

Liens


1. Personnellement ça ne me gène pas car je n’enregistre pas les numéros de carte sur les sites web sauf obligation, mais on voit la difficulté supplémentaire imposée à ceux qui le font
2. Je me demande d’ailleurs dans quelle mesure un commerçant peut ainsi s’arroger le droit de choisir le mode de paiement à la place du client