Attention au vol sans contact avec les technologies NFC et RFID

Les technologies de communication en champ proche (NFC) et d'identification par radiofréquence (RFID) permettent une communication sans fil entre les appareils et facilitent les processus de paiement sans contact, le suivi des produits et le contrôle d'accès.

Ces technologies font désormais partie de la vie quotidienne ; Cependant, ils peuvent également être utilisés pour voler des données importantes , et cela peut se produire sans que vous vous en rendiez compte dans des lieux courants tels que des événements sportifs, des concerts, des transports en commun ou des supermarchés.

Selon David González, spécialiste en cybersécurité chez ESET Amérique latine, les systèmes RFID sont utiles dans les environnements logistiques pour organiser les chargements, les colis et les inventaires, compiler des statistiques et des informations pertinentes. Ils sont également utilisés dans les magasins de vêtements pour identifier les vêtements et leur emplacement, simplifiant ainsi les opérations quotidiennes et offrant une mesure de sécurité supplémentaire.

Dans le cas des systèmes NFC, ils constituent la base d’appareils de proximité aussi courants que les téléphones portables et les cartes de paiement sans contact. Il en va de même pour les cartes qui permettent aux personnes autorisées d’entrer dans les bâtiments grâce à des systèmes de contrôle d’accès et de temps.

(Nous recommandons : Comment partager votre position sur Google lorsque vous voyagez )

Les cartes de proximité NFC sont également utilisées pour ouvrir les serrures électroniques dans les chambres d'hôtel, les appartements touristiques et les locations de vacances, permettant aux clients d'accéder facilement à leurs chambres en appuyant simplement leur carte contre le lecteur. La puce contenant les informations d'identification peut être intégrée à d'autres articles tels que des bracelets ou des porte-clés, personnalisant ainsi davantage l'expérience client.

« Les systèmes NFC font donc partie intégrante de la technologie RFID, ce qui signifie qu'ils peuvent être considérés comme un sous-ensemble des techniques RFID. La principale différence réside dans le fait que les composants RFID peuvent fonctionner et communiquer entre eux sur des distances beaucoup plus grandes. Cela explique leur large utilisation dans de nombreux domaines », explique González.

Avec l’avancement de ces deux technologies, les voleurs ont exploré de nouvelles formes de fraude sans contact, en capturant les informations des cartes ou en effectuant des transactions non autorisées.

L’une d’entre elles est l’écrémage, un type de fraude dans lequel les criminels copient les données de la carte de la victime. Une fois les données capturées, une étape supplémentaire est nécessaire, comme le clonage de la carte ou l’utilisation de données volées dans des transactions en ligne pour commettre une fraude.

Selon le spécialiste, « un fraudeur utilise un lecteur NFC ou RFID dissimulé pour récupérer les données d'une carte de paiement sans contact lorsqu'une personne la tient trop près . Bien que les données volées n'incluent généralement pas le code PIN, certains attaquants peuvent les utiliser pour effectuer des achats en ligne dans des magasins peu sécurisés. »

À titre préventif, vous pouvez utiliser des portefeuilles bloquant les RFID ou même envelopper la carte dans du papier aluminium . Il est recommandé d'activer les notifications d'achat en temps réel, d'utiliser des cartes virtuelles ou temporaires pour les achats en ligne et de surveiller les transactions.

Un autre type d’attaque est l’attaque par relais : dans ce cas, un attaquant intercepte le signal entre une carte NFC et un terminal de paiement, l’amplifiant pour faire croire que la carte est présente ailleurs. Cela permet d’effectuer des paiements sans que le propriétaire ne s’en aperçoive.

Pour éviter cela, il est conseillé d'utiliser un portefeuille NFC/RFID protégé, de désactiver les achats sans contact sur votre téléphone lorsqu'il n'est pas utilisé et d'utiliser l'authentification biométrique pour les paiements (empreinte digitale ou Face ID).

Les experts en cybersécurité parlent également de piratage de portefeuille électronique, ou de vol de données de paiement mobile : dans cette méthode, les cybercriminels exploitent les vulnérabilités des applications de paiement (comme Apple Pay ou Google Pay) ou interceptent les données sur les réseaux Wi-Fi publics, leur permettant d'effectuer des paiements non autorisés s'ils accèdent au compte de l'utilisateur.

À cet égard, la société de cybersécurité Kaspersky affirme que les cybercriminels achètent plusieurs smartphones, créent des comptes Apple ou Google dessus et installent des applications de paiement sans contact. Lorsqu'une victime visite un faux site Web, il lui est demandé de lier sa carte ou d'effectuer un petit paiement obligatoire. Cela nécessite de saisir les détails de la carte et de confirmer la propriété de la carte en saisissant un mot de passe à usage unique (OTP).

Même si la carte n'enregistre pas de frais immédiatement, les données sont transférées presque instantanément aux cybercriminels, qui tentent ensuite de les lier à un portefeuille mobile sur leur smartphone. Pour accélérer et simplifier le processus, les attaquants utilisent un logiciel spécial qui récupère les données fournies par la victime et génère une réplique parfaite de la carte. Il suffit ensuite de prendre une photo de cette image depuis Apple Pay ou Google Wallet.

Pour contrer ce stratagème , il est recommandé de définir des mots de passe forts et d'activer l'authentification en deux étapes, de ne jamais effectuer de paiements sur les réseaux Wi-Fi publics et d'utiliser des cartes virtuelles pour les transactions en ligne , qui fonctionnent en rechargeant la carte avant de pouvoir l'utiliser. Il est également recommandé d'éviter de stocker de grosses sommes d'argent sur des cartes virtuelles et de ne les recharger que juste avant d'effectuer un achat en ligne. Si l'émetteur de votre carte le permet, désactivez les paiements hors ligne et les retraits d'espèces pour ces cartes. Soyez également toujours vigilant pour surveiller les transactions.

Une autre forme de vol est l' installation de faux lecteurs NFC : ce comportement consiste pour un fraudeur à placer un lecteur NFC modifié sur des terminaux de paiement ou des distributeurs automatiques de billets, qui, lorsque la carte ou le téléphone portable est glissé, capture les données de l'utilisateur.

Dans ce cas, il est toujours important de vérifier que le terminal de paiement ne comporte aucun élément suspect attaché ou modifié. Les cartes à puce et à code PIN peuvent également être utilisées à la place du NFC lorsque cela est possible, et les paiements NFC ne peuvent pas être acceptés sur des appareils inconnus.

Dans le même ordre d’idées, un autre danger est le phishing NFC : une technique par laquelle un escroc ou un cybercriminel tente d’inciter les utilisateurs à tenir leur téléphone près d’une fausse puce NFC qui les redirige vers un site Web malveillant.

À ce propos, Kaspersky prévient qu'une fois que les utilisateurs approchent leur appareil du lecteur NFC modifié, ils peuvent être redirigés vers des sites de phishing, ou des actions indésirables peuvent être initiées sur leurs appareils, ou même des logiciels malveillants peuvent être envoyés. Dans son avertissement, la société a déclaré que les voleurs pourraient remplacer un véritable lecteur dans les zones à fort trafic, telles que les centres de transport, les cafés ou les magasins de détail, par un lecteur qui déclenche un comportement nuisible.

Il est recommandé de ne pas scanner les tags NFC dans des endroits suspects et de configurer votre téléphone pour demander une confirmation avant d'ouvrir les liens NFC.

« Le nombre de victimes de ce type d'attaque varie d'un pays à l'autre, même s'il est vrai qu'il y a une augmentation des fraudes liées aux cartes sans puce, en particulier pendant les périodes de pointe comme Noël, la Saint-Valentin et le Nouvel An, pour n'en citer que quelques-unes », conclut David González, spécialiste de la sécurité informatique chez ESET Amérique latine.

Diego Barrio de Mendoza (*)

(*) Avec des informations complémentaires d'EL TIEMPO.