Les banques et les utilisateurs de cartes bancaires ont du souci à se faire. Un chercheur britannique en sécurité informatique de l’université de Cambridge, Ross Anderson, a réussi à détecter et à exploiter une faille découverte dans les cartes à puce, rapportent nos confrères du Figaro.
L’universitaire a réussi à détourner le standard international de sécurité des cartes de paiement EMV (Europay-Mastercard-Visa) utilisé en Europe. Lors d’une transaction effectuée avec une carte bancaire équipée d’une puce ad hoc via un terminal de paiement électronique (TPE), ce système permet notamment de lancer une vérification et un chiffrement de la clé personnelle par la puce.
Ainsi, Ross Anderson a intégré un leurre à une carte à puce supportant ce standard, servant à instaurer une communication faussée entre la carte bancaire et un terminal de paiement.
Lors d’un paiement avec cette carte falsifiée, le leurre faire croire au TPE que le code personnel et confidentiel associé à cette carte a bien été tapé, alors qu’il n’en est rien. Berné, le TPE valide le paiement effectué par cette carte à puce.
Cette fraude, connue sous le nom de « man in the middle », ne marche pourtant pas à tous les coups. Cette technique de détournement de la puce ne fonctionne qu’avec des cartes bancaires véritables, déjà mise en circulation mais volées, et non pas des copies, parfois utilisées par des voleurs, comme le précise Le Figaro.
En outre, cette méthode du « Man in the middle » ne fonctionne pas non plus lors du paiement d’un achat par carte bancaire sur un site Internet, ou lors d’un retrait effectué à un distributeur automatique. En effet, dans ces cas, une demande d’autorisation de prélèvement est effectuée en direction des serveurs de la banque du consommateur.
Les banques françaises enquêtent mais rassurent
Si ce type de faille peut théoriquement toucher 500 millions de cartes bancaires en Europe, et pas moins de 60 millions en France, les banques, alertées de ce « crackage » du chercheur britannique, se veulent rassurantes.
Si Le Figaro note que certaines banques françaises, sous l’égide du Groupement des Cartes Bancaires, préparent déjà un plan d’action, d’autres spécialistes du secteur demeurent dubitatifs.
« Le procédé requiert un matériel lourd, un ordinateur, qui doit être branché sur le terminal. Il faudra du temps pour miniaturiser un tel équipement« , a expliqué à l’AFP Jean-Marc Bornet, l’administrateur du Groupement des Cartes Bancaires.
Et d’ajouter : « Le système ne fonctionne qu’avec de vraies cartes, donc des cartes volées, et dans ce cas les clients sont protégés par leur contrat ».
Les cartes bancaires n’ont pas bonne presse en ce début d’année. Lors du passage à l’année 2010, 30 millions de cartes bancaires, fournies en partie par Gemalto, ont été rendues inutilisables en Allemagne à la suite d’un bogue informatique.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…