Control by design : un exemple concret d’objet connecté indéconnectable

Récemment, j’ai perdu ma carte de crédit et ai donc dû la remplacer. Au moment de commander la nouvelle carte, j’ai demandé qu’elle ne soit pas dotée du système de paiement sans contact de type « NFC » (near field communication). D’une part, parce que je ne vois pas l’intérêt de pareille technologie (à part peut-être favoriser les achats spontanés et incontrôlés… et donc l’endettement, en particulier des jeunes). Mais surtout, car cette technologie n’est pas sûre du tout : il est possible de pirater une carte à distance (cf. cet article de la FRC ou cette démonstration un peu inquiétante narrée par la Tribune de Genève) et, selon les conditions générales des fournisseurs de cartes de crédit, jusqu’à 120.—Fr. de paiements abusifs effectués avec cette technologie sont à la charge du détenteur de la carte, même s’il a pu prouver avoir agi avec la prudence nécessaire. (La légalité d’une telle pratique est à mon avis fort douteuse, mais qui ferait un procès pour 120.—Fr. ?) Le détenteur d’une carte de crédit se retrouve donc coincé avec une technologie qui risque de permettre le piratage de ses données et de lui coûter cher. Rien de plus légitime donc à ce qu’il puisse y renoncer, à plus forte raison si elle ne l’intéresse pas. Mais voilà, selon l’émetteur de ma carte de crédit (Viseca, en lien avec la BCV), il est impossible de bénéficier d’une carte qui ne dispose pas de cette technologie. L’émetteur de cartes les dote donc de technologies qui ouvrent une brèche de sécurité, mais c’est au consommateur de courir le risque et de l’assumer. Mais ce n’est pas encore le plus consternant : pour éviter les fraudes, Viseca m’a recommandé… d’entourer ma carte de crédit avec du papier-alu, preuve que l’entreprise ne fait pas vraiment confiance à sa propre technologie. J’ai donc bricolé une petite fourre sécurisée anti-piratage avec les moyens du bord (cf. photo). Me voilà rassuré, même si le bricolage en question risque de ne pas être très solide et de devoir être régulièrement refait…

Petit bricolage pour éviter le piratage

Petit bricolage pour éviter le piratage

Nous voilà donc réduits, pour nous prémunir des risques générés par une technologie dernier cri, de recourir à un produit qui se trouve dans un tiroir de chaque cuisine depuis des décennies !

Cette navrante histoire montre l’intérêt du concept de « control by design » (contrôle dès la conception), qui doit conférer au propriétaire d’un objet connecté le droit inaliénable de le déconnecter d’un quelconque réseau. Dans le cas concret, le propriétaire d’une carte de crédit devrait avoir le droit de le déconnecter du système NFC si ça lui chante. S’il trouve cette méthode de paiement avantageuse et est prêt à courir le risque de piratage, c’est son affaire et il peut le décider librement. Mais s’il ne souhaite pas courir ce risque, il doit pouvoir aussi décider librement d’y renoncer. La responsabilité de la sécurité des données incomberait alors à l’émetteur de carte, qui devrait offrir à ses clients la possibilité de renoncer à la technologie NFC. J’espère que le Conseil fédéral mettra donc rapidement en œuvre mon postulat prônant le « control by design », postulat qui a été accepté par le Conseil national en décembre dernier.

5 réflexions au sujet de « Control by design : un exemple concret d’objet connecté indéconnectable »

  1. Merci d’évoquer ce problème et de souligner l’absurdité de la « solution » prônée par la banque émettrice… J’espère que ton postulat fera son chemin dans la legislation. En attendant, si tu veux remplacer ta feuille d’alu moins souvent, tu peux toujours investir dans un produit comme celui-ci: http://www.amazon.com/dp/B00CMA56IC C’est toujours un emplâtre sur une jambe de bois, mais qu’il faut changer moins souvent…

    Ironiquement, j’ai découvert l’existence de ces pochettes… en recevant ma carte NEXUS qui me permet de passer plus facilement la frontière entre le Canada et les Etats-Unis. Cette carte regorge de mes données biométriques, sacrifiées sur l’autel du confort pour me permettre d’économiser une heure de mon temps chaque fois que je passe la frontière, et elle est équipée d’une puce RFID pour y accéder. La vulnérabilité du système n’a apparemment pas échappé au département américain de la sécurité intérieure lui-même, au point de fournir automatiquement une pochette anti-lecture à distance à chaque abonnée au système NEXUS…

  2. Ping : 2011-2015 : Bilan de législature (ou presque) #EF2015 | Jean Christophe Schwaab

Répondre à jcs Annuler la réponse.

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *