La sécurité des puces NFC (near field communication) est un enjeu majeur, comme le montre l'évolution actuelle des plateformes de téléphonie mobile. Si l'utilisateur est amené à payer avec son téléphone, il veut avoir confiance dans la technologie. Or, de nombreux rapports récents montrent qu'elle présente des faiblesses dans ses défenses ou que des scénarios d'attaques n'ont pas été envisagés.

Sécurité des puces NFC : un sujet récurrent.

Les puces NFC sont promises à jouer un grand rôle dans l'avenir. Elles sont utilisées depuis des années pour des échanges d'informations en champ proche. Les banques et les commerces sont intéressés par une solution de paiement sans contact, qui permet à l'utilisateur d'approcher son téléphone (ou sa carte bancaire) d'une borne. Le paiement lui-même est autorisé via l'utilisation d'un code PIN qui valide l'opération bancaire.

En avril dernier, nous nous faisions déjà l'écho des travaux menés par l'ingénieur en sécurité Renaud Lifchitz sur les cartes bancaires possédant une puce NFC. Il avait prouvé que l'on pouvait « écouter » les échanges de données entre une carte et sa borne de lecture au moyen d'un téléphone ou d'une clé USB NFC. Pour rappel, une enquête de la CNIL a d'ailleurs été ouverte sur le sujet.

Quand des fonctionnalités sont détournées.

Plus récemment, la célèbre conférence Black Hat a remis l'expert en sécurité Charlie Miller sur le devant de la scène. Il a ainsi fait la démonstration d'un hacking direct de trois smartphones : le Nexus S, le Galaxy Nexus et le N9 de Nokia. Miller indique que le standard NFC est basé sur le RFID mais qu'il se destine à des communications sur une très courte distance, de l'ordre de 4 cm. De fait, beaucoup estiment qu'aucun chiffrement des données n'est nécessaire, ce qui est une grosse erreur selon l'expert.

Miller indique toutefois que les protections ne manquent pas dans la pratique. Dans le cas du Galaxy Nexus, autrement dit le smartphone Android star, il lui a fallu pas moins de 50 000 tests pour trouver des failles. Il en a notamment trouvé dans la fonction Beam qui permet d'envoyer du contenu à un autre téléphone sous Android 4.0 sans que ce dernier nécessite une acceptation. On peut notamment envoyer une page web, ce qui, couplé à une faille du moteur de rendu Webkit, peut permettre son exploitation directe. Conséquence : Miller parvenait à obtenir un accès root au téléphone avec une simple page web.

Miller tenait à montrer non pas la déficience des protections possibles sur la partie NFC elle-même, mais plutôt ce que le manque de réflexion autour du NFC pouvait provoquer : « Il s'agit d'un bug de Webkit, pas d'un bug NFC, et le vrai vecteur d'attaque est le navigateur. Mais avant que vous ne poussiez une page web vers moi, pour l'amour de Dieu donnez-moi la possibilité de répondre non ». Miller s'inquiète donc de l'extension de la surface d'attaque provoquée par l'arrivée en masse des puces NFC.

Ce week-end avait lieu une autre conférence importante du monde de la sécurité : la Defcon à Las Vegas. Là encore, les puces NFC ont fait l'objet d'inquiétudes, en particulier dans le cas des paiements sans contact. Les démonstrations qui ont été faites ressemblaient davantage à ce qui avait été montré par Renaud Lifchitz.

Il serait ainsi possible de dissimuler facilement sur des bornes des antennes sous des autocollants. À l'approche des téléphones ou cartes de paiement, lesdites antennes seraient ainsi capables de capter et enregistrer les données transitant sur les ondes. Cyrille Badeau, un responsable de Sourcefire (société de sécurité), a été interrogé à ce sujet par le Parisien : « Pour le hacker, le processus de piratage est le même que ce soit sur un téléphone ou sur un ordinateur ». Il existe cependant une différence de taille : un smartphone est pratiquement allumé en permanence.

Le Parisien a également interrogé Arnaud Cassagne de la société de sécurité Nomios : « Il faut qu'on travaille tous ensemble pour sécuriser cette nouvelle technologie ». Une conclusion qui n'est pas sans rappeler celles de Renaud Lifchitz en avril dernier au sujet des cartes de paiement sans contact : « Des mesures sont prévues, il suffirait de les activer », enjoignant les banques à avoir une véritable concertation sur le sujet.

Qu'il s'agisse de cartes de paiement ou de smartphones, la sécurité entourant les communications de type NFC inquiètent car toutes les précautions ne semblent pas avoir été prises. Qu'il s'agisse de scénarios d'attaque utilisant des fonctionnalités détournées ou un manque de chiffrement des données, il faut sans doute prévoir une période d'adaptation où les nouveaux usages risquent de déclencher une maturation à posteriori des technologies.

Vers une profusion d'antennes pirates ?