Sécurité des cartes bancaires sans contact : quelles sont les avancées et les améliorations possibles ?
RSS CNIL - , 1/07/2013
La CNIL s'est intéressée à la sécurité des cartes bancaires sans contact et sur la sécurité des données qu'elles contiennent. Après un an de travail avec les professionnels du secteur, la CNIL fait le point sur les avancées obtenues et sur les droits dont disposent les porteurs de carte.
Depuis plus d'an an, la CNIL travaille en collaboration avec les professionnels du secteur bancaire ainsi que la Banque de France sur les risques pour la vie privée présentés par les cartes bancaires sans contact. A cette occasion, elle a fait des propositions pour améliorer la sécurité des données personnelles qu'elles contiennent.
En effet, les tests réalisés pendant l'été 2012 ont permis de constater qu'il était possible de lire, avec un lecteur NFC (near field communication) indépendant ou intégré à un Smartphone standard, le nom du porteur, la liste des transactions réalisées, ainsi que le numéro de la carte et de sa date d'expiration.
La CNIL a alors engagé un travail avec les industriels du secteur qui a rapidement abouti à la suppression de l'accès au nom du porteur, pour les cartes émises à partir de la fin septembre 2012, ainsi qu'à la suppression de l'accès à l'historique des transactions pour les futurs modèles de carte qui seront déployées à partir de fin 2013. Ces évolutions permettent de réduire les risques pour la vie privée des porteurs.
La CNIL reste toutefois préoccupée par l'accessibilité du numéro de carte et de la date d'expiration. Bien qu'à sa connaissance, aucune fraude exploitant cette accessibilité n'ait encore été détectée, elle appelle le secteur bancaire à une adaptation constante des mesures de sécurité pour garantir que ces données ne soient pas collectées et réutilisées par des tiers. A ce titre, la mise en œuvre des recommandations émises par l'Observatoire de la Sécurité des Cartes de Paiement dès 2007 et 2009 apparaît nécessaire, ainsi qu'à terme, un chiffrement des échanges rendant tout accès aux données impossible.
En outre, les porteurs de carte doivent être clairement informés de la fonctionnalité sans contact et doivent pouvoir la refuser, soit en obtenant une carte ne disposant pas de cette fonctionnalité, soit en obtenant sa désactivation par leur banque. A cet égard, la CNIL note avec intérêt que certains établissements bancaires fournissent des cartes dont la partie sans contact est désactivée par défaut, pour être activée à la demande du porteur, lequel peut par ailleurs, à tout moment, désactiver à nouveau cette fonctionnalité. Le porteur a ainsi la maîtrise totale de sa carte. La CNIL appelle l'ensemble des établissements bancaires à adopter de telles pratiques vertueuses.
Enfin, la CNIL rappelle que son action s'inscrit dans le cadre du déploiement massif des applications sans contact et qu'elle souhaite accompagner le développement de ces services innovants. Tout comme la Commission européenne, elle encourage la réalisation d'étude d'impact sur la vie privée pour toute utilisation de technologie de type sans contact par les émetteurs de cartes. La réalisation de telles études serait bénéfique tant pour les émetteurs que pour les porteurs de carte sans contact, en garantissant la mise sur le marché de produits protégeant la vie privée des personnes et assurant ainsi la confiance dans l'usage de ces nouvelles technologies.