Bonjour, Le 16 janv. 2015 à 22:02, Pierre Jaury <pie...@jaury.eu> a écrit :
> > > On 01/16/15 21:11, Emmanuel Thierry wrote: >> Justement si on veut de la sécurité on ne fait *pas* de NFC, parce que : >> * Pas ou peu de crypto, parce qu'il faut l'alimenter le bouzin, et avec le >> peu de puissance qu'on peut lui passer par les ondes ça va être compliqué de >> faire de la grosse crypto >> * Une attaque MITM est inévitable. Avec un peu de matos je passe à côté de >> toi dans le bus, et plouf, je transfère ton authentification par 3G à 200km >> de là. Pour l'instant ça ne vaut pas le coup pour les 20€ du paiement sans >> contact, mais le principe est tout à fait possible. >> * Pas de confirmation par l'utilisateur (et là aussi pour le paiement sans >> contact c'est inadmissible) >> >> Donc si on veut une CNI sûre, il faut qu'elle soit en carte à puce et >> qu'elle demande un PIN à l'utilisateur. > > A moitié d'accord. NFC dans sa spec actuelle ne verra peut-être pas > 2020, mais on fait de l'ECC-320 sans difficulté, pareil pour RSA ; c'est > suffisant pour les prochaines années et la puissance transmise n'est > virtuellement pas limitée pour de futures technos. Le media importe donc > peu de ce côté. Y compris pour un périphérique passif ? Je ne mets pas en cause la spécification en elle-même, je ne doute pas qu'elle prévoit des évolutions crypto. Je veux bien qu'un téléphone soit capable de faire des opérations de crypto complexes (lorsqu'il est utilisé en périphérique NFC) mais est-ce qu'un périphérique passif alimenté par les ondes de son pair est capable de faire les mêmes opérations de crypto ? > > Par contre, il faut (que ce soit pour le paiement ou quelque device sans > contact que ce soit) une validation physique, sur le device et non sur > le terminal. Ca travaille déjà sérieusement à du NFC sur ISO7810 avec > écran embarqué et bouton de confirmation de la transaction et je ne vois > pas de limite physique à porter ça sous forme de pin ou autre > authentification. Toujours sans alimentation autonome ? ;) Cordialement Emmanuel Thierry --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
