Ils découvrent une faille de sécurité qui permet de contourner la confirmation par code PIN dans les paiements sans contact des cartes bancaires

Les cartes bancaires permettent généralement les paiements sans avoir à utiliser le code PIN pour de petits montants. Cependant, lors de paiements de sommes plus élevées, il est nécessaire de le confirmer avec le code PIN de sécurité pour vérifier que c’est bien le propriétaire qui effectue l’achat. Le fait d’éviter cette confirmation du code PIN pourrait permettre à des tiers d’utiliser l’intégralité de votre solde d’une carte. Et c’est exactement ce que les chercheurs en sécurité ont découvert qu’il est possible de faire

Les experts en sécurité de l’ETH Zurich ont publié une nouvelle étude montrant le processus pour contourner le code PIN d’une carte bancaire. Grâce à une vulnérabilité dans le système d’authentification des cartes bancaires, il est possible d’effectuer des transactions en sans contact peu importe qu’il s’agisse d’un montant important, car ils évitent d’avoir à entrer le code PIN.

Deux téléphones, une application et une carte

C’est ce dont les enquêteurs ont besoin pour mener correctement l’attaque. Deux téléphones Android agissent comme intermédiaires entre la carte bancaire et l’appareil de paiement. Pour cela, ils ont besoin d’une application spéciale développée par l’équipe de sécurité. Enfin, nous avons la carte de la victime.

Les chercheurs expliquent que ce qu’ils font essentiellement modifier l’article qui vérifie la transaction avec la carte. Pour cela, le téléphone à proximité de la carte bancaire fait office de dispositif de paiement et demande une transaction à la carte pour une somme modique ne nécessitant pas de code PIN. Une fois la transaction accordée, il envoie ces données à l’autre téléphone placé à côté du véritable appareil de paiement et qui agit en fait comme une carte virtuelle. Mais il modifie les données afin que la somme élevée du dispositif de paiement réel puisse être attribuée avec les données précédemment authentifiées.

Tout cela est fait via Wi-Fi entre les deux téléphones et ceux-ci se connectent à leur tour à la carte et à l’appareil de paiement via NFC. Les chercheurs commentent qu’ils n’ont besoin que d’une carte bancaire et commencent à l’épuiser avec des paiements importants jusqu’à ce qu’elle soit vide. Quelque chose qui serait beaucoup plus compliqué ou un processus plus long si les paiements sans code PIN étaient limités à de petits montants, par exemple 20 euros.

L’ETH Zurich a découvert cette vulnérabilité début 2020 et a contacté les responsables des cartes bancaires pour résoudre le problème. Heureusement rien n’indique que quiconque ait déjà utilisé cette faille de sécurité pour des actions malveillantes. Des recherches comme celle de l’ETH Zurich visent précisément à trouver ces failles et à les corriger avant que quelqu’un les trouve et les utilise à d’autres fins.

D’autre part, nous avons également le mesures de sécurité fournies par les banques en cas de vol. Par exemple, de nombreuses banques actuelles vous permettent de bloquer ou d’annuler une carte de crédit à partir du site Web, de l’application ou en appelant leurs bureaux. Il est également possible de fixer des limites maximales d’argent pouvant être dépensées chaque jour avec une carte bancaire.

Via | Nous vivons la sécurité
Plus d’informations | EMVrace
Image | @rupixen