NFC et portefeuilles numériques : la magie comporte des risques de sécurité
de portefeuilles numériques mobiles, de cartes-clés, etc. au lieu de traiter les objets volumineux qu’ils remplacent. Les avantages sont évidents : large disponibilité, simplicité d’utilisation, polyvalence de la plate-forme, communication transparente des appareils, capacité à gérer la cryptographie et les algorithmes complexes, etc.
Mais qu’en est-il des risques de sécurité ? Permettez-moi de vous donner une idée avec laquelle vous engager, en particulier pour ceux qui envisagent de lancer un portefeuille numérique NFC.
La magie de la sécurité NFC est mieux connue sous le nom de modélisation des menaces.
Les appareils NFC sont presque magiques, mais ils peuvent être trompés pour effectuer une action autorisée ou extraire des données sensibles. Plus que cela, les ingénieurs en sécurité ont été témoins de nombreux cas où des appareils NFC ont été utilisés pour violer les systèmes qu’ils ont été conçus pour protéger. Ils peuvent être vulnérables à des attaques assez courantes, comme la pré-lecture, la relecture, l’écoute passive, les exploits de cryptographie et les attaques par canal latéral. Et les attaquants peuvent faire leur mauvaise magie de manière imperceptible, car les appareils NFC sont si petits et peu coûteux à tester.
Les attaques par rejeu actif (envoyant plusieurs fois les mêmes informations) sur les paiements, par exemple, peuvent être menées juste en plein jour, car il n’est pas difficile pour un attaquant de se rapprocher vraiment d’une victime dans de nombreux endroits. Dans le cas de transactions financières impliquant des clés privées, lorsque l’application mobile et l’appareil utilisent un protocole de communication avec des failles de cryptage, l’ajout du mot à la mode « crypté » à la description marketing de l’application ne sécurisera pas les fonds. (Pour plus d’exemples de mauvais scénarios, vous pouvez rechercher sur Google l’exploration des vulnérabilités de sécurité dans les portefeuilles NFC).
Cela ne signifie pas que vous devez cesser de croire à la magie technologique du NFC ou l’éviter. Avec une bonne préparation (modélisation des menaces, architecture de sécurité, implémentation sécurisée et de nombreux tests), vous pouvez réduire les chances de réussite des exploits.
Ma recommandation personnelle, basée sur l’expérience, est d’évaluer les fournisseurs de cartes NFC et leurs protocoles de communication
avant ajouter leurs produits à votre portefeuille numérique (ou à toute autre application).
Prenez votre temps pour comprendre les risques et les menaces que leurs particularités peuvent entraîner, puis laissez votre équipe d’ingénieurs en sécurité construire une défense appropriée, couche par couche.
