Cartes bancaires à puce : un chercheur exploite une faille de sécurité

CloudE-paiementMarketing

Un chercheur britannique a réussi à contourner le système de sécurité des cartes bancaires à puce. Cette faille permet de payer des achats sans avoir à composer le code confidentiel.

Les banques et les utilisateurs de cartes bancaires ont du souci à se faire. Un chercheur britannique en sécurité informatique de l’université de Cambridge, Ross Anderson, a réussi à détecter et à exploiter une faille découverte dans les cartes à puce, rapportent nos confrères du Figaro.

L’universitaire a réussi à détourner le standard international de sécurité des cartes de paiement EMV (Europay-Mastercard-Visa) utilisé en Europe. Lors d’une transaction effectuée avec une carte bancaire équipée d’une puce ad hoc via un terminal de paiement électronique (TPE), ce système permet notamment de lancer une vérification et un chiffrement de la clé personnelle par la puce.

Ainsi, Ross Anderson a intégré un leurre à une carte à puce supportant ce standard, servant à instaurer une communication faussée entre la carte bancaire et un terminal de paiement.

Lors d’un paiement avec cette carte falsifiée, le leurre faire croire au TPE que le code personnel et confidentiel associé à cette carte a bien été tapé, alors qu’il n’en est rien. Berné, le TPE valide le paiement effectué par cette carte à puce.

Cette fraude, connue sous le nom de « man in the middle », ne marche pourtant pas à tous les coups. Cette technique de détournement de la puce ne fonctionne qu’avec des cartes bancaires véritables, déjà mise en circulation mais volées, et non pas des copies, parfois utilisées par des voleurs, comme le précise Le Figaro.

En outre, cette méthode du « Man in the middle » ne fonctionne pas non plus lors du paiement d’un achat par carte bancaire sur un site Internet, ou lors d’un retrait effectué à un distributeur automatique. En effet, dans ces cas, une demande d’autorisation de prélèvement est effectuée en direction des serveurs de la banque du consommateur.

Les banques françaises enquêtent mais rassurent

Si ce type de faille peut théoriquement toucher 500 millions de cartes bancaires en Europe, et pas moins de 60 millions en France, les banques, alertées de ce « crackage » du chercheur britannique, se veulent rassurantes.

Si Le Figaro note que certaines banques françaises, sous l’égide du Groupement des Cartes Bancaires, préparent déjà un plan d’action, d’autres spécialistes du secteur demeurent dubitatifs.

« Le procédé requiert un matériel lourd, un ordinateur, qui doit être branché sur le terminal. Il faudra du temps pour miniaturiser un tel équipement« , a expliqué à l’AFP Jean-Marc Bornet, l’administrateur du Groupement des Cartes Bancaires.

Et d’ajouter : « Le système ne fonctionne qu’avec de vraies cartes, donc des cartes volées, et dans ce cas les clients sont protégés par leur contrat ».

Les cartes bancaires n’ont pas bonne presse en ce début d’année. Lors du passage à l’année 2010, 30 millions de cartes bancaires, fournies en partie par Gemalto, ont été rendues inutilisables en Allemagne à la suite d’un bogue informatique.

Lire aussi :