Pour gérer vos consentements :

Cartes bancaires à puce : un chercheur exploite une faille de sécurité

Les banques et les utilisateurs de cartes bancaires ont du souci à se faire. Un chercheur britannique en sécurité informatique de l’université de Cambridge, Ross Anderson, a réussi à détecter et à exploiter une faille découverte dans les cartes à puce, rapportent nos confrères du Figaro.

L’universitaire a réussi à détourner le standard international de sécurité des cartes de paiement EMV (Europay-Mastercard-Visa) utilisé en Europe. Lors d’une transaction effectuée avec une carte bancaire équipée d’une puce ad hoc via un terminal de paiement électronique (TPE), ce système permet notamment de lancer une vérification et un chiffrement de la clé personnelle par la puce.

Ainsi, Ross Anderson a intégré un leurre à une carte à puce supportant ce standard, servant à instaurer une communication faussée entre la carte bancaire et un terminal de paiement.

Lors d’un paiement avec cette carte falsifiée, le leurre faire croire au TPE que le code personnel et confidentiel associé à cette carte a bien été tapé, alors qu’il n’en est rien. Berné, le TPE valide le paiement effectué par cette carte à puce.

Cette fraude, connue sous le nom de « man in the middle », ne marche pourtant pas à tous les coups. Cette technique de détournement de la puce ne fonctionne qu’avec des cartes bancaires véritables, déjà mise en circulation mais volées, et non pas des copies, parfois utilisées par des voleurs, comme le précise Le Figaro.

En outre, cette méthode du « Man in the middle » ne fonctionne pas non plus lors du paiement d’un achat par carte bancaire sur un site Internet, ou lors d’un retrait effectué à un distributeur automatique. En effet, dans ces cas, une demande d’autorisation de prélèvement est effectuée en direction des serveurs de la banque du consommateur.

Les banques françaises enquêtent mais rassurent

Si ce type de faille peut théoriquement toucher 500 millions de cartes bancaires en Europe, et pas moins de 60 millions en France, les banques, alertées de ce « crackage » du chercheur britannique, se veulent rassurantes.

Si Le Figaro note que certaines banques françaises, sous l’égide du Groupement des Cartes Bancaires, préparent déjà un plan d’action, d’autres spécialistes du secteur demeurent dubitatifs.

« Le procédé requiert un matériel lourd, un ordinateur, qui doit être branché sur le terminal. Il faudra du temps pour miniaturiser un tel équipement« , a expliqué à l’AFP Jean-Marc Bornet, l’administrateur du Groupement des Cartes Bancaires.

Et d’ajouter : « Le système ne fonctionne qu’avec de vraies cartes, donc des cartes volées, et dans ce cas les clients sont protégés par leur contrat ».

Les cartes bancaires n’ont pas bonne presse en ce début d’année. Lors du passage à l’année 2010, 30 millions de cartes bancaires, fournies en partie par Gemalto, ont été rendues inutilisables en Allemagne à la suite d’un bogue informatique.

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago