Une vulnérabilité de sécurité permet de contourner la demande de code PIN pour un paiement Visa sans contact. Des chercheurs de l'ETH Zurich ont découvert une vulnérabilité que les criminels pourraient utiliser pour effectuer des paiements avec des cartes de crédit sans connaître leur code PIN.
Une équipe de recherche de l'Ecole polytechnique fédérale de Zurich (ETH Zurich) a découvert une faille de sécurité dans le protocole EMV pour les paiements sans contact du fournisseur de carte de crédit Visa qui pourrait permettre aux attaquants de contourner la demande de code PIN et de commettre une fraude à la carte de crédit.
Avec le paiement sans contact, il y a généralement une limite lors du paiement de biens ou de services. Dès que celle-ci est dépassée, le terminal de carte demande une confirmation du code PIN au titulaire de la carte. Cependant, la nouvelle étude, intitulée "The EMV Standard: Break, Fix, Verify", montre que les criminels peuvent exploiter une faille de carte de crédit pour effectuer des achats frauduleux sans avoir à saisir le code PIN, même si la somme dépasse la limite.
Paiement des visas : démonstration de l'attentat
Les scientifiques ont démontré la faisabilité de l'attaque en utilisant deux téléphones Android, une carte de crédit sans contact et une application Android spécialement développée à cet effet : « Le téléphone près du terminal de paiement est l'émulateur de carte de l'attaquant, et le téléphone près de la carte de crédit de la victime est l'émulateur POS de l'attaquant. Les appareils de l'attaquant communiquent entre eux via WiFi et avec le terminal et la carte via NFC », ont expliqué les chercheurs. L'application ne nécessite aucune autorisation racine spéciale ou hacks Android.
"L'attaque consiste à modifier un objet de données d'une carte - le "Card Transaction Qualifier" - avant qu'il ne soit transmis au terminal", indique le rapport de recherche. Ce changement indique au terminal qu'aucune vérification du code PIN n'est requise et que le titulaire de la carte a déjà été vérifié par l'appareil du consommateur.
Attaque par contournement de code PIN
Les chercheurs ont testé leur attaque par contournement PIN sur l'un des six protocoles EMV sans contact (Mastercard, Visa, American Express, JCB, Discover, UnionPay). Cependant, ils soupçonnent que leur attaque pourrait également fonctionner sur les protocoles Discover et UnionPay, bien que ceux-ci n'aient pas été vérifiés dans la pratique. EMV, le protocole standard international pour les paiements par carte à puce, est utilisé par plus de 9 milliards de cartes dans le monde et utilisé dans plus de 2019 % de toutes les transactions par carte dans le monde en décembre 80.
Il convient également de noter que les chercheurs ont non seulement testé l'attaque dans des conditions de laboratoire, mais l'ont également réalisée avec succès dans des magasins utilisant les cartes Visa Credit, Visa Electron et V-Pay. Bien sûr, ils ont utilisé leurs propres cartes pour les tests.
L'attaque est à peine remarquée
Selon les chercheurs, il est difficile pour le personnel de caisse de remarquer ces attaques lors d'un paiement Visa, car il est courant pour les clients de payer des marchandises avec leur smartphone. Les enquêtes ont également révélé une autre faille de sécurité. Pour les transactions sans contact hors ligne avec d'anciennes cartes Visa ou Mastercard, ils pouvaient modifier les données générées par les cartes, le soi-disant "cryptogramme de transaction", avant qu'elles ne soient transmises au terminal.
Cependant, ces données ne peuvent pas être vérifiées par le terminal, mais uniquement par l'émetteur de la carte, c'est-à-dire la banque. D'ici là, le criminel a depuis longtemps disparu avec ses biens. Pour des raisons éthiques, cette attaque n'a pas été testée sur de vrais terminaux à cartes par l'équipe de recherche.
L'équipe, bien sûr, a informé la société Visa de leurs découvertes.
En savoir plus sur le blog WeLiveSecurity sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.