Des chercheurs britanniques ont mis le doigt sur une vulnérabilité dans le protocole de sécurité des cartes bancaires qui permet de siphonner des comptes à grande échelle, ni vu ni connu.
Imaginez
un pirate qui se balade dans le métro avec un smartphone Android dans
la main. A chaque fois que l’appareil se trouve à une distance d’un
centimètre d’une carte bancaire NFC - ce qui est relativement aisé aux
heures de pointe - il valide un paiement bancaire pouvant aller
jusqu’à... 999.999,99 euros ! Impossible ? Malheureusement non, comme
viennent de le prouver cinq chercheurs en sécurité de l’université
britannique de Newcastle.
En analysant le protocole EMV, qui est
le standard international de sécurité des cartes de paiement, ces
experts sont tombés sur une importante faille qui permet de
court-circuiter le plafond défini pour les transactions sans contact.
Celui-ci est de 20 livres anglaises au Royaume-Uni et de 20 euros en
France. Pour dépasser cette limite, il suffit de faire une transaction
dans une monnaie autre que celle de la carte en question. Au
Royaume-Uni, les chercheurs ont pu valider leur attaque sur des cartes
de crédit Visa. Le montant maximum qu’ils ont pu vérifier était de
999.999,99 euros ou 999.999,99 dollars.
Génération d'une transaction frauduleuse.
Techniquement,
l’attaque n’est pas si compliquée. Les chercheurs ont développé une
appli qui simule un terminal de paiement et l’ont installée sur un
Google Nexus 5. Quand le smartphone arrive à proximité d’une carte NFC,
elle génère automatiquement une transaction sans que le porteur ne s’en
rende compte. Cela est possible car les transactions sans contact ne
nécessitent pas de code PIN pour être validées. Cette transaction est
certes créée, mais pas encore envoyée à la banque. Elle est d’abord
stockée dans le terminal. Là encore, c’est possible car le standard EMV
autorise les transactions en mode offline. L’avantage, c’est
que le pirate peut ainsi collecter tranquillement des transactions
auprès de ses victimes et focaliser sur la récupération des fonds dans
un second temps.
En effet, les chercheurs ont montré que
l’on pouvait ensuite décharger ces transactions et les envoyer sur
n’importe quel système de paiement d’un marchand affilié au réseau EMV.
Il suffit pour cela d’ajouter dans les requêtes de transaction les
données relatives à ce marchand. Cela est possible car, dans le standard
EMV, les données du marchand ne font pas partie du sceau de validation
cryptographique créée par la carte bancaire. Le pirate peut donc générer
des transactions puis, dans un second temps, choisir le marchand auprès
de qui il souhaite encaisser le pactole. L’avantage -si l’on peut dire-
de ce procédé : il permet une fraude à grande échelle. Rien n’empêche, à
priori, un groupe de cybermalfrats de pirater des cartes dans de
multiples endroits sur une durée plus ou moins longue.
Il serait intéressant
de savoir si cette attaque fonctionne également sur les cartes Visa
dans d’autres pays, comme la France par exemple. Malheureusement, les
chercheurs se sont limités aux cartes bancaires britanniques. Il faut
souligner, par ailleurs, que les cartes Mastercard ne sont pas
vulnérables à cette attaque, car elles n’autorisent pas le mode offline
pour les transactions en monnaie étrangère. Preuve qu’il existe donc des
solutions techniques à cette faille.REF.: