{"id":23578,"date":"2026-01-13T17:36:26","date_gmt":"2026-01-13T15:36:26","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23578"},"modified":"2026-02-10T17:38:57","modified_gmt":"2026-02-10T15:38:57","slug":"nfc-gate-relay-attacks-2026","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/nfc-gate-relay-attacks-2026\/23578\/","title":{"rendered":"Attaques par skimming NFC"},"content":{"rendered":"

Gr\u00e2ce \u00e0 la commodit\u00e9 des paiements NFC et par smartphone, nombreux sont ceux qui ne portent plus leur portefeuille sur eux et n\u2019ont plus besoin de se souvenir du code PIN de leur carte bancaire. Toutes leurs cartes sont enregistr\u00e9es dans une application de paiement, ce qui est plus rapide que de fouiller dans son portefeuille \u00e0 la recherche d\u2019une carte physique. Les paiements mobiles offrent \u00e9galement une grande s\u00e9curit\u00e9\u00a0: cette technologie a \u00e9t\u00e9 d\u00e9velopp\u00e9e relativement r\u00e9cemment et comprend de nombreuses protections antifraude. Pourtant, les criminels ont invent\u00e9 plusieurs fa\u00e7ons de d\u00e9tourner la technologie NFC et de voler votre argent. Heureusement, il est facile de prot\u00e9ger vos fonds\u00a0: il suffit de conna\u00eetre ces pi\u00e8ges et d\u2019\u00e9viter les situations \u00e0 risque lors de l\u2019utilisation de la technologie NFC.<\/p>\n

Relais NFC et NFCGate \u2013 qu\u2019est-ce que c\u2019est\u00a0?<\/h2>\n

Le relais NFC est une technique qui consiste \u00e0 intercepter les donn\u00e9es transmises sans fil entre une source (comme une carte bancaire) et un r\u00e9cepteur (comme un terminal de paiement) \u00e0 l\u2019aide d\u2019un appareil interm\u00e9diaire, puis \u00e0 les relayer en temps r\u00e9el vers un autre appareil. Imaginez que vous ayez deux smartphones connect\u00e9s via Internet, chacun \u00e9quip\u00e9 d\u2019une application relais. Si vous placez une carte bancaire physique contre le premier smartphone et que vous approchez le deuxi\u00e8me smartphone d\u2019un terminal ou d\u2019un distributeur automatique de billets, l\u2019application relais install\u00e9e sur le premier smartphone lira le signal de la carte \u00e0 l\u2019aide de la technologie NFC et le transmettra en temps r\u00e9el au deuxi\u00e8me smartphone, qui transmettra ensuite ce signal au terminal. Du point de vue du terminal, tout semble indiquer qu\u2019une carte r\u00e9elle a \u00e9t\u00e9 utilis\u00e9e, m\u00eame si la carte elle-m\u00eame se trouve physiquement dans une autre ville ou un autre pays.<\/p>\n

\u00c0 l\u2019origine, cette technologie n\u2019a pas \u00e9t\u00e9 cr\u00e9\u00e9e pour commettre des crimes. L\u2019application NFCGate est apparue en 2015 en tant qu\u2019outil de recherche apr\u00e8s avoir \u00e9t\u00e9 d\u00e9velopp\u00e9e par des \u00e9tudiants de l\u2019Universit\u00e9 technique de Darmstadt en Allemagne. Elle a \u00e9t\u00e9 con\u00e7ue \u00e0 des fins d\u2019analyse et de d\u00e9bogage du trafic NFC, ainsi que pour l\u2019enseignement et la r\u00e9alisation d\u2019exp\u00e9riences avec la technologie sans contact. L\u2019outil NFCGate a \u00e9t\u00e9 distribu\u00e9 en tant que solution open source et utilis\u00e9 dans les milieux universitaires et par les passionn\u00e9s.<\/p>\n

Cinq ans plus tard, les cybercriminels ont compris le potentiel du relais NFC et ont commenc\u00e9 \u00e0 modifier cet outil en y ajoutant des mods qui lui permettaient de fonctionner via un serveur malveillant, de se faire passer pour un logiciel authentique et de mener des op\u00e9rations d\u2019ing\u00e9nierie sociale.<\/p>\n

Ce qui avait commenc\u00e9 comme un projet de recherche s\u2019est transform\u00e9 en base pour toute une s\u00e9rie d\u2019attaques ayant pour but de vider des comptes bancaires sans avoir physiquement acc\u00e8s aux cartes bancaires.<\/p>\n

Des ant\u00e9c\u00e9dents d\u2019utilisation abusive<\/h2>\n

Les premi\u00e8res attaques document\u00e9es utilisant une version modifi\u00e9e de NFCGate ont eu lieu fin\u00a02023 en R\u00e9publique tch\u00e8que. Au d\u00e9but de l\u2019ann\u00e9e\u00a02025, le probl\u00e8me avait pris une ampleur consid\u00e9rable et \u00e9tait devenu \u00e9vident\u00a0: les analystes en cybers\u00e9curit\u00e9 ont d\u00e9couvert plus de 80\u00a0\u00e9chantillons uniques de programmes malveillants bas\u00e9s sur le syst\u00e8me NFCGate. Les attaques ont \u00e9volu\u00e9 rapidement, les fonctions de relais NFC \u00e9tant int\u00e9gr\u00e9es \u00e0 d\u2019autres composants malveillants.<\/p>\n

En f\u00e9vrier\u00a02025, des ensembles de programmes malveillants combinant CraxsRAT et NFCGate sont apparus, permettant aux pirates d\u2019installer et de configurer le relais avec une interaction minimale de la part des victimes. Un nouveau stratag\u00e8me<\/a>, une version dite \u00ab\u00a0invers\u00e9e\u00a0\u00bb de NFCGate, est apparu au printemps 2025, modifiant fondamentalement l\u2019ex\u00e9cution de l\u2019attaque.<\/p>\n

Il convient de noter tout particuli\u00e8rement le cheval de Troie RatOn<\/a>, d\u00e9tect\u00e9 pour la premi\u00e8re fois en R\u00e9publique tch\u00e8que. Il associe le contr\u00f4le \u00e0 distance par smartphone \u00e0 des capacit\u00e9s de relais NFC, permettant aux pirates de cibler les applications bancaires et les cartes des victimes gr\u00e2ce \u00e0 diverses combinaisons de techniques. Des fonctionnalit\u00e9s telles que la capture d\u2019\u00e9cran, la manipulation des donn\u00e9es du presse-papiers, l\u2019envoi de SMS et le vol d\u2019informations provenant de portefeuilles de cryptomonnaies et d\u2019applications bancaires offrent aux criminels un arsenal complet.<\/p>\n

Les cybercriminels ont \u00e9galement int\u00e9gr\u00e9 la technologie de relais NFC dans des offres de programmes malveillants en tant que service (MaaS) et les revendent \u00e0 d\u2019autres acteurs malveillants sous forme d\u2019abonnement. Au d\u00e9but de l\u2019ann\u00e9e\u00a02025, des analystes ont d\u00e9couvert une nouvelle campagne complexe de programmes malveillants Android en Italie, baptis\u00e9e SuperCard\u00a0X<\/a>. Des tentatives de d\u00e9ploiement de SuperCard\u00a0X ont \u00e9t\u00e9 signal\u00e9es en Russie en mai\u00a02025, puis au Br\u00e9sil en ao\u00fbt de la m\u00eame ann\u00e9e.<\/p>\n

L\u2019attaque directe NFCGate<\/h2>\n

L\u2019attaque directe est le stratag\u00e8me criminel original exploitant l\u2019outil NFCGate. Dans ce sc\u00e9nario, le smartphone de la victime joue le r\u00f4le du lecteur, tandis que le t\u00e9l\u00e9phone du pirate informatique agit comme un \u00e9mulateur de carte.<\/p>\n

Tout d\u2019abord, les escrocs incitent l\u2019utilisateur \u00e0 installer une application malveillante se faisant passer pour un service bancaire, une mise \u00e0 jour syst\u00e8me, une application de \u00ab\u00a0s\u00e9curit\u00e9 de compte\u00a0\u00bb ou m\u00eame une application populaire, telle que TikTok. Une fois install\u00e9e, l\u2019application acc\u00e8de \u00e0 la fois \u00e0 la technologie NFC et \u00e0 Internet, souvent sans faire de demande d\u2019autorisations dangereuses<\/a> ni d\u2019acc\u00e8s root. Certaines versions demandent \u00e9galement l\u2019acc\u00e8s aux fonctionnalit\u00e9s d\u2019accessibilit\u00e9 Android<\/a>.<\/p>\n

Ensuite, sous pr\u00e9texte de v\u00e9rification d\u2019identit\u00e9, la victime est invit\u00e9e \u00e0 rapprocher sa carte bancaire de son t\u00e9l\u00e9phone. Si elle le fait, le programme malveillant lit les donn\u00e9es de la carte \u00e0 l\u2019aide de la technologie NFC et les envoie imm\u00e9diatement au serveur des criminels. De l\u00e0, l\u2019information est transmise \u00e0 un deuxi\u00e8me smartphone d\u00e9tenu par une mule financi\u00e8re, dont le r\u00f4le est de retirer l\u2019argent. Ce t\u00e9l\u00e9phone \u00e9mule ensuite la carte de la victime pour effectuer des paiements \u00e0 un terminal ou retirer de l\u2019argent \u00e0 un distributeur automatique de billets.<\/p>\n

La fausse application install\u00e9e sur le smartphone de la victime demande \u00e9galement le code PIN de la carte, comme sur un terminal de paiement ou un distributeur automatique de billets, et l\u2019envoie aux cybercriminels.<\/p>\n

Dans les premi\u00e8res versions de cette attaque, les criminels devaient se tenir pr\u00eats devant un distributeur automatique avec un t\u00e9l\u00e9phone pour pouvoir utiliser la carte de la victime en temps r\u00e9el. Plus tard, le programme malveillant a \u00e9t\u00e9 perfectionn\u00e9 de mani\u00e8re \u00e0 ce que les donn\u00e9es vol\u00e9es puissent \u00eatre utilis\u00e9es pour des achats en magasin de mani\u00e8re diff\u00e9r\u00e9e et sans connexion, plut\u00f4t que par une retransmission en direct.<\/p>\n

Pour la victime, le vol est difficile \u00e0 remarquer\u00a0: la carte n\u2019a jamais quitt\u00e9 ses mains et elle n\u2019a pas eu \u00e0 saisir ni \u00e0 communiquer oralement ses coordonn\u00e9es bancaires, d\u2019autant plus que les alertes de la banque concernant les retraits peuvent \u00eatre retard\u00e9es, voire intercept\u00e9es par l\u2019application malveillante elle-m\u00eame.<\/p>\n

Voici quelques-uns des signes alarmants qui devraient vous faire soup\u00e7onner une attaque NFC directe\u00a0:<\/p>\n