Billets publiés le 17 décembre 2010

Gina DesjardinsFaut-il avoir peur des « pickpockets » électroniques?

par

 publié le 17 décembre 2010 à 12 h 16

Plusieurs personnes m’ont envoyé un reportage de la chaîne américaine de Memphis Wreg sur la facilité de pirater les cartes de crédit RFID (Radio Frequency IDentification) dotées de puces permettant la transmission de données sans contact physique avec le lecteur.

La vidéo, devenue rapidement virale, démontre comment on peut frauder ces cartes en achetant un lecteur en ligne.

C’est assez comique, car on parle de ce genre de fraudes depuis des années. Par exemple, le New York Times en a parlé en 2006 et Boing Boing a fait un reportage sur le sujet en 2008. Pourquoi le récent reportage de Wreg a-t-il eu autant de succès (avec ses 1,6 million de clics, c’est le reportage le plus populaire de la station à ce jour)? Possiblement pour son côté alarmiste. Ils ont collaboré uniquement avec une compagnie qui vend des étuis de protection. Jamais, dans le reportage, on ne demande aux institutions financières ce qu’il en est. On pourrait croire à un faux reportage provenant des fabricants de l’étui en question. Malheureusement, c’est bel et bien vrai. Mais la réalité n’est pas aussi alarmante que le reportage le démontre.

Le danger de la radio-identification

J’ai parlé à Nathalie Genest, porte-parole de Visa Desjardins, à ce sujet. Elle m’a d’abord informée que peu de cartes RFID sont en ce moment sur le marché au Québec, mais ça devrait se répandre l’an prochain. « Pour capter les infos, il faut être vraiment très près, précise-t-elle, on le voit bien dans la vidéo. De plus, les données sont cryptées et uniques à chaque transaction. Donc, si quelqu’un récupère les données de la carte, il ne pourra les utiliser qu’à la prochaine transaction. Dès que le détenteur va utiliser sa carte, le numéro récolté ne sera plus valide. » Ce ne sont pas toutes les cartes RFID qui sont comme ça, mais certaines cartes émettent en effet des numéros uniques.

« Il faudrait aussi que la personne qui récolte les informations soit en mesure de fabriquer une carte pour utiliser les données, continue Mme Genest. Puisque le fraudeur ne récupère pas les trois chiffres de sécurité au verso de la carte, il ne peut pas les utiliser pour faire un achat rapide en ligne. »

Elle ajoute que la plupart de ces cartes sont pour les transactions courantes et ont un maximum alloué pour chaque transaction. À Visa Desjardins, ce sera 50 $ au maximum la transaction. Elle affirme aussi que si la carte se fait frauder, il n’y a pas de responsabilité attribuée au consommateur.

On a déjà fraudé ma carte de crédit (mon ancienne avec bande magnétique, j’en ai une avec puce maintenant), et j’avoue que le règlement avec mon institution a été fait sans aucun problème. C’était d’ailleurs Visa qui avait téléphoné pour me dire qu’il y avait des transactions inhabituelles. Je fais attention, en achetant en ligne ou ailleurs, mais je n’ai pas peur outre mesure!

Une question de rapidité

Je me suis demandé pourquoi il existe un tel engouement pour ces puces qui se trouvent sur des cartes de crédit, mais aussi sur certains passeports et téléphones intelligents. Mme Genest affirme que c’est surtout une question de rapidité. En ce qui concerne les cartes de crédit, les consommateurs recherchaient une solution simple pour payer des trucs tels que les titres de transports, de petits achats au dépanneur, etc. Ils ont juste à passer leur carte devant le lecteur sans devoir signer ou entrer un NIP. Ça sécurise certaines personnes également de ne pas avoir à donner sa carte à un intermédiaire. En effet, chaque fois qu’on donne notre carte à un marchand, on prend quand même le risque qu’il prenne en note notre numéro (et nos numéros de sécurité à l’arrière)…

Coffre-fort portable

Qu’est-ce qu’il en est des étuis protecteurs vantés dans le reportage de Wreg? Ça fonctionnerait bien. Mais ils ne sont pas les seuls à en fabriquer. Certains étuis sont fabriqués, par exemple, avec de l’aluminium, d’autres avec du nylon imprégné de nickel. L’important est que l’étui serve de blindage contre les fréquences radio. La couverture des passeports américains serait d’ailleurs faite dans un matériau du genre.

Le risque est donc réel, mais il y a moyen de se protéger.