Bien protégé avec la NFC
La technologie NFC permettra une grande variété de nouvelles applications fascinantes, surtout destinées à faciliter l’accès aux informations et services. Par exemple, en mettant en contact votre terminal, probablement un téléphone portable ou un PDA, avec une affiche de cinéma, vous pourrez télécharger des informations sur le film sur votre écran. Vous pourrez alors acheter des tickets pour la séance du soir. Les tickets seront stockés sur votre terminal, ainsi en arrivant au cinéma, il suffira de mettre en contact votre terminal avec un lecteur qui vous indiquera votre siège.
Surveillez vos arrières
Tout cela semble magnifique mais pourrait bien entraîner aussi pas mal de risques. A-t-on la certitude que l’affiche contient un émetteur authentique et non un émetteur placé ici pour espionner votre téléphone ? Et même sans acheter de ticket, l’affiche pourrait trouver beaucoup de données vous concernant en lisant votre terminal. Et si vous achetez un ticket, tout l’échange d’informations de paiement se fait sur le trottoir. Enfin, dans la cohue à l’intérieur du cinéma, une personne malintentionnée pourrait positionner un récepteur sous votre coude pour voler les informations.
Toutes ces questions sont étudiées dans le groupe de travail Sécurité Technique du NFC Forum, qui gère des problèmes de sécurité et de protection de données et donne des conseils en matière de sécurité. Son président, Albert Dorofeev de Sony Europe, décrit la tâche de son groupe comme un « problème épineux ».
« Nous pourrions introduire la sécurité parfaite, mais cela nécessiterait un superordinateur quantique », explique M. Dorofeev. « Nous devons nous assurer que l’architecture de sécurité et les mesures indépendantes que nous proposons sont adaptées aux appareils limités en ressources et de faible puissance que nous utilisons dans l’univers de la NFC. »
Jonathan Collins, analyste senior dans le secteur de la technologie RFID et sans contact chez ABI Research, explique que les véritables problèmes se situent dans les applications : « La NFC se base essentiellement sur une technologie existante et il existe déjà des normes comme ISO 14443* pour garantir une sécurité technique. Mais les problèmes se situent dans la façon dont l’appareil interagit et comment il stocke les informations.
Analyse des risques
De nombreuses cartes sans contact qui comportent des informations spécifiques sont actuellement en utilisation. Le problème avec la NFC est qu’un même appareil peut contenir toutes vos informations à la fois. « Mais le risque est sûrement moins important que celui de vous faire voler votre portefeuille », poursuit M. Collins. « L’avantage est que les gens se rendent compte de la perte de leur téléphone portable en quelques heures, alors qu’il se passe souvent quelques jours avant qu’ils ne déclarent la perte de leur carte de crédit. »
Les appareils électroniques peuvent également comporter une fonction de sécurité intégrée et comme ils sont en réseau, ils peuvent être désactivés à distance.
Mais comme le fait remarquer M. Dorofeev, les gens ne voudront pas avoir à s’inquiéter de la sécurité quand ils utiliseront leurs terminaux NFC : « L’idée de confort qui va avec la mobilité disparaîtrait si les utilisateurs devaient tout le temps saisir un mot de passe. Nous devons donc trouver comment sécuriser la procédure en imposant un minimum, ou encore mieux aucune interaction avec l’utilisateur. »
Il existe certains atouts de sécurité évidents. La NFC, comme son nom l’indique (communications en champ proche), fonctionne seulement sur de très courtes distances. Il y a donc peu de chances de contact accidentel avec les émetteurs. Mais il est possible que des pirates NFC dissimulent des appareils à proximité des émetteurs autorisés pour espionner les transactions sans se faire voir.
La simplicité avant tout
M. Collins pense que les gens n’auront pas confiance si les problèmes de sécurité ne sont pas réglés et expliqués clairement avant la mise en application de la NFC : « Par exemple, ils voudront savoir si leur appareil peut effectuer des paiements sans qu’ils le sachent en passant devant un terminal. »
De tels risques peuvent être réduits si aucune information personnelle n’est échangée pendant la transaction et si l’on impose un montant limite de dépense. Chaque transaction établira son propre code d’authentification, ainsi personne ne pourra utiliser les informations pour une autre transaction. Les dispositifs NFC devraient également être plus sûrs que les cartes sans contact car leur interface utilisateur, constituée de l’écran et du clavier, permettront aux utilisateurs d’accepter ou refuser les transactions.
Mais Albert Dorofeev ne pense pas qu’il faut trop en demander à l’utilisateur. « Le confort de l’utilisateur vient en premier, sinon il n’y a pas d’avantage à utiliser la NFC », explique-t-il. « Il faut faire avec et trouver des procédures sécurisées pour certains scénarios sans exiger d’interaction avec l’utilisateur. »
*ISO 14443 est une norme internationale pour les cartes à puce sans contact fonctionnant dans la plage des 13,56 MHz à proximité d’une antenne
* Indique un champ obligatoire