On 01/16/15 21:11, Emmanuel Thierry wrote: > Justement si on veut de la sécurité on ne fait *pas* de NFC, parce que : > * Pas ou peu de crypto, parce qu'il faut l'alimenter le bouzin, et avec le > peu de puissance qu'on peut lui passer par les ondes ça va être compliqué de > faire de la grosse crypto > * Une attaque MITM est inévitable. Avec un peu de matos je passe à côté de > toi dans le bus, et plouf, je transfère ton authentification par 3G à 200km > de là. Pour l'instant ça ne vaut pas le coup pour les 20€ du paiement sans > contact, mais le principe est tout à fait possible. > * Pas de confirmation par l'utilisateur (et là aussi pour le paiement sans > contact c'est inadmissible) > > Donc si on veut une CNI sûre, il faut qu'elle soit en carte à puce et qu'elle > demande un PIN à l'utilisateur.
A moitié d'accord. NFC dans sa spec actuelle ne verra peut-être pas 2020, mais on fait de l'ECC-320 sans difficulté, pareil pour RSA ; c'est suffisant pour les prochaines années et la puissance transmise n'est virtuellement pas limitée pour de futures technos. Le media importe donc peu de ce côté. Par contre, il faut (que ce soit pour le paiement ou quelque device sans contact que ce soit) une validation physique, sur le device et non sur le terminal. Ca travaille déjà sérieusement à du NFC sur ISO7810 avec écran embarqué et bouton de confirmation de la transaction et je ne vois pas de limite physique à porter ça sous forme de pin ou autre authentification. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
