Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser les commentaires pour donner votre avis, ou la page de contact pour nous contacter. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

Des chercheurs parviennent à payer avec une carte Visa sans avoir son code

Des scientifiques suisses exploitent une vulnérabilité qui leur permet de régler n'importe quel montant avec le paiement sans contact d'une carte bancaire. Si un malfaiteur parvenait à reproduire cette attaque, il lui suffirait de voler une carte bancaire pour effectuer des achats onéreux.

Trois chercheurs de l'École polytechnique fédérale de Zurich ont découvert une importante faille dans le standard Europay Mastercard Visa (EMV), censé protéger la sécurité de plus de 9 milliards de cartes de paiement.

Ils ont développé une application Android pour exploiter cette faille à l'aide de deux smartphones. Leur attaque permet d'utiliser le paiement sans contact de la carte bancaire pour n'importe quelle somme, savoir ne jamais devoir rentrer le code PIN à 4 chiffres de la carte.

L'attaque mise en place par les chercheurs ignore les limitations habituelles des paiements sans contact, qui permettent de protéger le propriétaire de la carte en cas de vol :

Si un malfaiteur exploitait la méthode des chercheurs, il n'aurait qu'à dérober une carte bancaire pour effectuer des achats onéreux. Ils pourrait ainsi tirer profit de son vol immédiatement.

Un paiement par carte bancaire déguisé en paiement par mobile

Si l'on met de côté les détails techniques de l'attaque, elle s'avère plutôt simple. Pour la mettre en place, les chercheurs utilisent deux smartphones Android (des modèles Huawei ou Pixel) sur lesquels ils ont téléchargé une application qu'ils ont développée.

Le premier smartphone est placé contre la carte bancaire volée, hors de vue du vendeur, par exemple dans la poche de l'attaquant. Ce smartphone imite un terminal de paiement grâce à un émulateur, de sorte que la carte bancaire va interagir avec lui.

Le second smartphone Android est quant à lui présenté au terminal de paiement du vendeur, sur lequel il se présentera comme une carte bancaire sans contact, grâce à un autre émulateur.

Lors de l'attaque, le premier smartphone va demander un faux paiement à la carte bancaire volée, puis modifier les détails de la transaction grâce à l'exploitation de la faille de sécurité.

Plus précisément, il va modifier un ensemble de données sur la transaction qui est généré par la carte bancaire à destination du terminal de paiement. C'est ici que le chercheur va retirer automatiquement la nécessité d'entrer un code PIN pour valider la transaction au-delà d'un certain montant.

Ensuite, le premier smartphone va envoyer ces données de transaction trafiquées par internet au second smartphone. Ce second smartphone, qui imite une carte bancaire, va prétendre qu'il a généré ces données, et va valider la transaction sur le vrai terminal de paiement, celui du vendeur.

Et voilà, le tour est joué : les chercheurs ont profité d'une l'absence d'authentification dans le protocole pour lancer leur attaque, puis ils ont abusé d'une faiblesse de la chaîne de confiance pour valider la transaction.

Une attaque encore en développement

Tout au long de leur démonstration, les chercheurs insistent sur le fait que ce piratage ne requiert pas de « hack élaboré », malgré les 2 000 pages de documentations liées au standard EMV, étalées sur plusieurs manuels.

Pour l'instant, les scientifiques n'ont pas encore publié leur article dans une revue scientifique, mais ils prévoient de présenter plus longuement leurs travaux en mai 2021. Ils affirment qu'ils ont d'ores et déjà prévenu Visa au sujet de la faille.