Des scientifiques suisses exploitent une vulnérabilité qui leur permet de régler n’importe quel montant avec le paiement sans contact d’une carte bancaire. Si un malfaiteur parvenait à reproduire cette attaque, il lui suffirait de voler une carte bancaire pour effectuer des achats onéreux.

Trois chercheurs de l’École polytechnique fédérale de Zurich ont découvert une importante faille dans le standard Europay Mastercard Visa (EMV), censé protéger la sécurité de plus de 9 milliards de cartes de paiement.

Ils ont développé une application Android pour exploiter cette faille à l’aide de deux smartphones. Leur attaque permet d’utiliser le paiement sans contact de la carte bancaire pour n’importe quelle somme, savoir ne jamais devoir rentrer le code PIN à 4 chiffres de la carte.

veoh.png

Pas besoin d’outils sophistiqués pour lancer l’attaque : deux smartphones Android et une carte bancaire suffisent. // Source : Louise Audry pour Numerama

L’attaque mise en place par les chercheurs ignore les limitations habituelles des paiements sans contact, qui permettent de protéger le propriétaire de la carte en cas de vol :

  • Le plafond d’un paiement par carte sans contact est de 50 d’euros.
  • L’utilisateur ne peut plus payer sans contact après le dépassement d’un certain plafond journalier ou d’un certain nombre de paiements. Il devra alors entrer sa carte dans une machine et indiquer son code PIN pour de nouveau effectuer des paiements sans contact.

Si un malfaiteur exploitait la méthode des chercheurs, il n’aurait qu’à dérober une carte bancaire pour effectuer des achats onéreux. Ils pourrait ainsi tirer profit de son vol immédiatement.

Un paiement par carte bancaire déguisé en paiement par mobile

Si l’on met de côté les détails techniques de l’attaque, elle s’avère plutôt simple. Pour la mettre en place, les chercheurs utilisent deux smartphones Android (des modèles Huawei ou Pixel) sur lesquels ils ont téléchargé une application qu’ils ont développée.

Le premier smartphone est placé contre la carte bancaire volée, hors de vue du vendeur, par exemple dans la poche de l’attaquant. Ce smartphone imite un terminal de paiement grâce à un émulateur, de sorte que la carte bancaire va interagir avec lui.

Le second smartphone Android est quant à lui présenté au terminal de paiement du vendeur, sur lequel il se présentera comme une carte bancaire sans contact, grâce à un autre émulateur.

Image d'erreur

Un smartphone de gauche émule une carte de paiement, celui de droit émule un terminal de paiement. // Source : École polytechnique fédérale de Zurich

Lors de l’attaque, le premier smartphone va demander un faux paiement à la carte bancaire volée, puis modifier les détails de la transaction grâce à l’exploitation de la faille de sécurité.

Plus précisément, il va modifier un ensemble de données sur la transaction qui est généré par la carte bancaire à destination du terminal de paiement. C’est ici que le chercheur va retirer automatiquement la nécessité d’entrer un code PIN pour valider la transaction au-delà d’un certain montant.

Ensuite, le premier smartphone va envoyer ces données de transaction trafiquées par internet au second smartphone. Ce second smartphone, qui imite une carte bancaire, va prétendre qu’il a généré ces données, et va valider la transaction sur le vrai terminal de paiement, celui du vendeur.

Et voilà, le tour est joué : les chercheurs ont profité d’une l’absence d’authentification dans le protocole pour lancer leur attaque, puis ils ont abusé d’une faiblesse de la chaîne de confiance pour valider la transaction.

Une attaque encore en développement

Tout au long de leur démonstration, les chercheurs insistent sur le fait que ce piratage ne requiert pas de « hack élaboré », malgré les 2 000 pages de documentations liées au standard EMV, étalées sur plusieurs manuels.

Pour l’instant, les scientifiques n’ont pas encore publié leur article dans une revue scientifique, mais ils prévoient de présenter plus longuement leurs travaux en mai 2021. Ils affirment qu’ils ont d’ores et déjà prévenu Visa au sujet de la faille.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.