Les banques et les utilisateurs de cartes bancaires ont du souci à se faire. Un chercheur britannique en sécurité informatique de l’université de Cambridge, Ross Anderson, a réussi à détecter et à exploiter une faille découverte dans les cartes à puce, rapportent nos confrères du Figaro.
L’universitaire a réussi à détourner le standard international de sécurité des cartes de paiement EMV (Europay-Mastercard-Visa) utilisé en Europe. Lors d’une transaction effectuée avec une carte bancaire équipée d’une puce ad hoc via un terminal de paiement électronique (TPE), ce système permet notamment de lancer une vérification et un chiffrement de la clé personnelle par la puce.
Ainsi, Ross Anderson a intégré un leurre à une carte à puce supportant ce standard, servant à instaurer une communication faussée entre la carte bancaire et un terminal de paiement.
Lors d’un paiement avec cette carte falsifiée, le leurre faire croire au TPE que le code personnel et confidentiel associé à cette carte a bien été tapé, alors qu’il n’en est rien. Berné, le TPE valide le paiement effectué par cette carte à puce.
Cette fraude, connue sous le nom de « man in the middle », ne marche pourtant pas à tous les coups. Cette technique de détournement de la puce ne fonctionne qu’avec des cartes bancaires véritables, déjà mise en circulation mais volées, et non pas des copies, parfois utilisées par des voleurs, comme le précise Le Figaro.
En outre, cette méthode du « Man in the middle » ne fonctionne pas non plus lors du paiement d’un achat par carte bancaire sur un site Internet, ou lors d’un retrait effectué à un distributeur automatique. En effet, dans ces cas, une demande d’autorisation de prélèvement est effectuée en direction des serveurs de la banque du consommateur.
Les banques françaises enquêtent mais rassurent
Si ce type de faille peut théoriquement toucher 500 millions de cartes bancaires en Europe, et pas moins de 60 millions en France, les banques, alertées de ce « crackage » du chercheur britannique, se veulent rassurantes.
Si Le Figaro note que certaines banques françaises, sous l’égide du Groupement des Cartes Bancaires, préparent déjà un plan d’action, d’autres spécialistes du secteur demeurent dubitatifs.
« Le procédé requiert un matériel lourd, un ordinateur, qui doit être branché sur le terminal. Il faudra du temps pour miniaturiser un tel équipement« , a expliqué à l’AFP Jean-Marc Bornet, l’administrateur du Groupement des Cartes Bancaires.
Et d’ajouter : « Le système ne fonctionne qu’avec de vraies cartes, donc des cartes volées, et dans ce cas les clients sont protégés par leur contrat ».
Les cartes bancaires n’ont pas bonne presse en ce début d’année. Lors du passage à l’année 2010, 30 millions de cartes bancaires, fournies en partie par Gemalto, ont été rendues inutilisables en Allemagne à la suite d’un bogue informatique.
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…