Une technologie grand public est en train d'emmergée en France : Les NFC (Near Field Communications).

Ce nom barbare implique tout simplement le M-Commerce (Mobile Commerce)

Cette technologie nous arrivera avec les nouveaux téléphones portables, PDA, etc afin de remplacer MONEO pour du paiement rapide via nos GSMs.

Ce qu'il faut savoir est que dores et deja, nos téléphones portables sont équipés de puces électroniques pour le WIFI et le Bluetooth.

La fréquence des NFC est 13.56 MHZ....alors que les fréquences BlueTooth / Wifi sont à 2,45 Ghz et le wifi 802.11a est sur 5Ghz. Ces différences n'ont alors pas gèner les contructeurs de puces électroniques car selon eux, les NFC pourraient se trouver sur la même puce que celle qui gère le WIFI et le Bluetooth.

Les NFC seraient alors gérées par micro-logiciels intégrès dans les nouveaux modèles de téléphones portables, ou bien même en option, selon les contrats passés avec votre banque.

Cette étude traite donc de la taxinomie sur les NFC.

Définitions:

Taxinomie ou Taxonomie :

L’étude de rapprochement de classifications par famille, par utilité, par technologie, par sécurité, par contre-mesure, etc...

NFC : Near Field Communication :

La NFC est une technologie radio, mise en ouvre notamment par les industriels Philips (technologie MIFARE) et Sony (technologie FeliCa).

Elle permet d'établir des communications entre un terminal mobile et une borne préalablement équipée d'une micro-antenne.

La spécificité de la NFC est que la communication s'établit à une distance de l'ordre de 2-3 centimètres, voire au contact des deux objets...Mais des tests se sont avérés efficaces à quelques mètres ... avec du motériel spécifique, et notamment avec une excellente antenne !

Exemples d'utilisations :

La NFC est actuellement utilisée pour:

- les payements par téléphone portable, montre, etc

- du ticketing (transports)

- contrôle d’accès dans les entreprises

- déportation d’informations sur le téléphone (ex:plan de métro)

TAXINOMIE : Devices

On peut penser que les NFC ne seront utilisées qu’avec des téléphones portables, mais voici quelques exemples types de portabilité de cette technologie :

- Montres

- PDA

- Lecteurs MP3

- Péages d’autoroutes

- Nano computers, etc.

Tout équipement hébergeant dores et déjà la technologie bluetooth car le chipset est ou sera compatible avec l’utilisation des NFC

Fonctionnement d'un achat via NFC

Le téléphone NFC embarque un logiciel bancaire qui fait appel à la puce électronique du téléphone gérant la communication NFC.

Le client fait le choix de son achat, puis vient à la caisse ou se trouve un terminal NFC.

Ce terminal fera un pairing entre le téléphone du client et lui-même.

Une fois authentifié, le client doit composer son numéro confidentiel pour confirmer son achat

La transaction se fait dans ce cas entre la borne du marchand et sa banque...en général par le net via le réseau bancaire existant utilisé pour les cartes bancaires classiques. Et cette communication se fait via une connexion X25, IP (avec ou sans fil : GPRS) en utilisant le protocole CB2A (merci Scorpion).

TAXINOMIE NFC : Achats de demain

On peut imaginer que des entités marketing et commerciales peuvent, dores et déjà, proposer via les providers téléphoniques des options de convergences supplémentaires pour inciter l’utilisateur à consommer plus!

Dans ce cas, l’infrastructure change et se complique, mais pour l’utilisateur tout est transparent et aussi facile qu’un simple achat NFC !

TAXINOMIE NFC : Qui pour quelle fonction?

Fournisseurs téléphoniques :

- Payement directement sur les factures téléphoniques

- Nouveaux revenus / plus value des services

- Fidélisations de la clientèle

Banques:

- Relationnels clients NFC

- Nouvelles offres de services de crédits simplifiés aux utilisateurs

- Offres de transactions sécurisées auprès des boutiques

- Paiements pour tout produit/service

Client NFC :

Achats :

- rapides

- faciles

- sécurisés

- personnalisés

Avantages :

- Informations sur ses comptes en temps réel

- Meilleures gestions de consomation courante

TAXINOMIE NFC : Statistiques

Les estimations, de TelecomTrends.net représentant le nombre de transactions effectuées pour 2008, s’élèveraient à 554 B$ dans le monde....Transactions qui seraient effectuées via un téléphone portable en NFC.

Voici l’évolution du e-commerce vers le m-commerce :

Coté Sécurité

Les transferts de données :

Il existe deux types de transactions de pairing entre le device et la borne en NFC :

Le mode Actif :

1. Le pairing initialise la communication avec la borne et en assume les authentifications, les taux de transferts (même concepts que les modems RTC, fax, etc).

2. La transaction peut être effectuée.

Dans ce concept, il n'y a pas de sécurité et une attaque Man-in-the-Middle-Attack (MMA) peut se glisser en effectuant un deni de service sur le téléphone via des ondes juste après la phase 1, et effectuer la transaction à la place du propriétaire du téléphone.

Ce qui donne schématiquement :

Le mode Passif :

Le principe du mode passif est simple, l'authentification et la transaction se fait en une seule phase et il n'y a aucune coupure de communication, comme nous avons lors du transfert actif.

De plus, ce mode est le plus sécurisé car c’est un point à point direct.

Les projets en cours sont en discussion pour une transaction sécurisée.

Alors, quels sont les risques?

Les risques sont encore, et seront toujours sur les devices des téléphones portables, exactement au même titre que des attaques sur les ordinateurs des utilisateurs...par le biais d'attaques de virus, vers, chevaux de troie, etc

Schématiquement, cela donne :

Comme on peut le constater, les codes malicieux mobiles peuvent accèder à l'OS du téléphone, à partir de là, on pourra constater l'arrivée de Keyloggers afin d'enregistrer les codes confidentiels pour les transactions, des envois par SMS, MMS, e-mail, HTTP des codes confidentiels, bref, le code malicieux sur le téléphone a tous les droits :-(

TAXINOMIE NFC : Sécurité du Téléphone

Les codes malicieux mobiles existent et fonctionnent




Les hackers possèdent déjà la technologie :




- Envoi de SMS (technologie malicieuse : RedBrowzer)




- Copie de fichiers sur d’autres tel (technologie malicieuse : CxOver)




- Propagations bluetooth et MMS (technologie malicieuse : StealWar)




- Propagation par mail (technologie malicieuse : Letum)




- Remplacement et hook d’applications système (technologie malicieuse : Mobler)




- Remplacement des fichiers de boot (technologie malicieuse : FlerProx)




- Concaténation de fichiers applicatifs (technologie malicieuse : HideMenu)




- La technologie malicieuse : Wesber : technologie de vol d’argent s’appuyant sur espionnage des données et transactions financières




- Etc..





Quelles sont les protections NFC/Téléphones





Coté NFC, ce système peut être fragilisé par :





- Le manque de cryptage de transfert entre les bornes et le device NFC




- Les transferts en mode PASSIF doivent être indispensable





Coté téléphone ou device NFC++





Ils peuvent être fragilisés par des noyaux systèmes intelligents tels que :




- Symbian




- WinCE




- Linux





MAIS, l’utilisation d’un antivirus équipé de parefeux réduit de façon significative les tentives de fuites et contaminations des données et applicatifs






CONLUSION : Vers quelles directions les hackers vont ?





Les hackers aujourd’hui n’étudient que des nouveaux systèmes pouvant générer du business.




Ils s’attaquent au e-commerce




Ils s’attaqueront demain au m-commerce




Toutes les technologies malicieuses existent aujourd’hui




Ce n’est, pour eux, qu’une question de temps...le temps que les NFC soient utilisées par nous tous...





...et les possibilités d'attaques sont les suivantes :











..A cours terme, la nécessité des antivirus, anti-threft, parefeux sur téléphones portables deviendront OBLIGATOIRE pour les systèmes M-Commerce