Voilà une nouvelle qui pourrait bien faire trembler les possesseurs de cartes de paiement Visa, et ils sont nombreux. Des chercheurs en sécurité de l’École polytechnique fédérale de Zurich viennent de démontrer la présence d’une faille d’ampleur sur ce type de carte. Celle-ci permet d’outrepasser l’authentification lors du transfert d’un montant élevé sans contact. Dans les faits, cela permettrait à une personne malintentionné de vider votre compte en quelques secondes si jamais il venait à mettre la main sur votre carte Visa.
Pour expliquer le procédé permettant de tirer profit de cette faille, il convient d’expliquer les différents types de paiements NFC permis par ces cartes. Le premier, couramment appelé « sans contact » par les commerçants, permet d’effectuer des paiements sans authentification en apposant simplement sa carte sur un terminal de paiement. Évidemment, cela ne fonctionne que sur de « petits » achats, et le plafond est généralement fixé à 30 euros. La deuxième méthode de paiement sans contact fonctionne bien différemment : c’est le procédé utilisé par nos smartphones avec Apple Pay ou Google Pay, notamment. Il permet bien de payer sans contact grâce au NFC, mais il nécessite une méthode d’authentification, qui est généralement celle du smartphone, donc l’empreinte digitale ou la reconnaissance faciale.
Mais voilà, les chercheurs en sécurité de l’ETH Zurich sont parvenus à transférer des sommes importantes sans authentification. Pour ce faire, ils ont utilisé deux smartphones, l’un simulant le terminal de paiement, et l’autre simulant une véritable carte. En utilisant un protocole de paiement modifié au préalable, ils sont parvenus à faire croire au terminal de paiement que l’authentification a bien été réalisé sur le smartphone, alors que ce n’était absolument pas le cas. Ils étaient alors en mesure de prélever d’importantes sommes extrêmement rapidement depuis une carte Visa, comme s’il s’agissait d’achats de moins de 30 euros. Les chercheurs à l’origine de cette découverte détaillent le procédé dans cette vidéo.
https://youtu.be/JyUsMLxCCt8
Après avoir constaté l’ampleur de cette faille, on ne saurait trop vous conseiller de bloquer votre carte Visa le plus rapidement possible si jamais vous l’avez égaré, afin qu’elle ne tombe pas entre de mauvaises mains. Du côté des cartes Mastercard, la faille ne serait heureusement pas présente. « Le protocole de paiement sans contact de Mastercard protège toutes les transactions à montant élevé » précisent les chercheurs. Mais avant de vous débarrasser de vos cartes Visa, sachez que le problème commence à être corrigé via une mise à jour des terminaux de paiement. Si cela devrait donc prendre encore un peu de temps avant qu’elle ne soit installée sur tous les terminaux disponibles chez les commerçants, il ne sera pas nécessaire de remplacer sa carte. En attendant, prenez garde de ne pas égarer votre carte Visa.
Suite à la parution de cet article, Visa nous a fait part de sa position sur le sujet. Voici leur réponse complète : “Visa traite toutes les menaces liées à la sécurité avec le plus grand sérieux, et nous apprécions les efforts de la part de l’industrie et du milieu universitaire visant à renforcer la sécurité des paiements. Les consommateurs peuvent continuer à utiliser leurs cartes Visa en toute confiance. Les évolutions des méthodes de fraude par étapes sont étudiées depuis près d’une décennie. Au cours de cette période, aucune fraude de ce type n’a été signalée. Les études et tests peuvent être intéressants, mais en réalité ce genre de méthodes s’est avéré irréalisable à mettre en place par des fraudeurs dans le monde réel. Les cartes de paiement sans contact sont très sécurisées. Intégrant la même technologie sécurisée que les cartes à puce EMV®, les cartes sans contact sont extrêmement efficaces pour prévenir la contrefaçon, car elles s’appuient sur un code à usage unique qui évite que des données compromises soient réutilisées dans un contexte de fraude.”
[amazon box=”B06XBDXDRM”]
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Ce qui est super avec ces chercheurs, c’est qu’ils font même le petit tuto youtube pour aider ceux qui ont les moyens de reproduire la manip’. Franchement sympa ^
Je comprend pas la faille se situe dans le paiement sans contact des smartphone mais sa parle de remplacement tout les carte bleu visa ? C est quoi le rapport ? (Oui je suis bien au courant que le paiement par smartphone utilise un alias sur la carte principale !)
Zurich* Merci pour mes yeux de petit Suisse
De ce que j’ai compris, la faille semble se situer au niveau du code (du logiciel) utilisé sur les TPE qui n’effectue pas correctement certaines vérifications.
Mais les détails n’étant pas encore publiques, difficile de savoir.
C’est une démo avec Google Pay. Est-ce la même chose avec Apple Pay ?
Ça permet de mettre la pression aux banques/éditeurs pour corriger l’erreur. Si on dit juste “Eh y’a un truc qui pète là”, globalement elles s’en fouteront un peu. Mais si tout le monde sait comment faire ça a pas le même impact, et ça permet aussi au grand public de se rendre de la simplicité du procédé d’exploitation de la faille
Zurich et non Zurick
S’il n’y avait que cette faute….
Exemple de phrase:
“Dans les faits, cela permettrait à une personne malintentionné de vider votre compte en quelques secondes si jamais il venait à mettre la main sur votre carte Visa”
Et si on s’attarde un peu, on en trouve un paquet.
Mmmmmh, petit Suisse *bave*
Les détails sont dispos dans leur article. En fait ils se servent d’un smartphone pour faire croire au terminal que c’est un paiement mobile, et dans ce cas il n’y a pas de limite à 50€. Le 2ème smartphone se fait passer pour un terminal auprès de la carte volée, et il modifie les réponses de la carte pour les envoyer au vrai terminal.
Pour corriger le problème, il suffit juste que le terminal fasse une vérification supplémentaire. Cette vérification permet de s’assurer que la réponse de la carte (la vraie) n’a pas été modifiée.