La cybersécurité est parfois déroutante. Avec des moyens dérisoires, une appli Android et deux smartphones du commerce, des chercheurs en sécurité informatique de l'École polytechnique fédérale de Zurich (Suisse) ont révélé une faille de sécurité des cartes de paiement sans contact Visa.
Sans connaitre le code secret d’une telle carte bancaire, ils ont montré que l’on pouvait effectuer un achat de 200 francs suisse dépassant le montant autorisé d’un paiement sans contact. Cette faille a été rendu publique le 1er septembre 2020 dans un article publié par l’Ecole polytechnique suisse sur son site Internet.
Cette découverte n’est pas neutre pour les consommateurs et les banques : le protocole international EMV (pour Europay, Mastercard et VISA), développé dans les années 1990, est implémenté dans 9 milliards de cartes de paiement. Selon les chercheurs, les cartes Mastercard ne sont pas exposées à une telle faille.
Suite à cette révélation, le consortium Visa a réagi minimisant la portée de cette faille de sécurité : "Les évolutions des méthodes de fraude par étapes sont étudiées depuis près d’une décennie. Au cours de cette période, aucune fraude de ce type n'a été signalée. Les études et tests peuvent être intéressants, mais en réalité ce genre de méthodes s’est avéré irréalisable à mettre en place par des fraudeurs dans le monde réel".
Plus de 50 années d'expertise cumulées en sécurité informatique
Ce n’est pas ce que disent les auteurs de l’étude qui insistent sur la simplicité des moyens à mettre en œuvre pour leurrer le système de paiement. Dans leurs publications, ils précisent même avoir testé leur attaque en situation réelle sur des vrais terminaux de paiement en boutique en utilisant leurs propres cartes. Le hacking a été assuré en utilisant des smartphones du commerce, le Google Pixel et des terminaux du fabricant chinois Huawei. Pour mener une telle attaque, le criminel doit "simplement" mettre la main sur une carte de paiement sans contact, soit volée, soit trouvée si elle a été perdue.
Si les moyens déployés sont effectivement dérisoires, les trois chercheurs à l’origine de la découverte de cette faille, Jorge Toro, Ralf Sasse et David Basin, sont des cracks en sécurité informatique. Ils cumulent à eux trois une cinquantaine d’année d’expertise de haut niveau dans la cryptographie, les modèles mathématiques, les protocoles de sécurité, les technologies informatiques… Ils ont dû également éplucher les 2000 pages techniques décrivant le protocole international EMV. Ils présenteront d’ailleurs leurs travaux liés à la découverte de failles du protocole de paiement EMV au symposium international de l’IEEEE à San Francisco, l’un des événements majeurs pour la communauté scientifique et l’industrie dans le secteur de la sécurité informatique en mai 2021.
un étui métallique pour éviter la lecture des données de la carte
Selon les chercheurs, la faille vient du fait que des données critiques échangées lors de la transaction sans contact ne sont pas authentifiées. "Nous avons identifié plusieurs failles d’authentification. Une des failles découvertes conduit à une attaque qui permet de contourner le code PIN pour des transactions qui sont normalement protégées par une vérification du propriétaire de la carte", expliquent les auteurs de l’étude. Ils préconisent ainsi l’usage d'un étui métallique qui empêche une lecture à distance des données de la carte de paiement.
Plus précisément, comment ont-ils procédé ? Les trois experts ont développé une attaque d’interception, dite de type "Man in the middle". L’application intercepte et modifie les données échangées entre la carte de paiement et le terminal de paiement lors de la transaction. Les modifications leurrent le terminal, lui faisant croire que le code PIN n’est pas nécessaire à la réalisation de la transaction et que l’identité du propriétaire de la carte a été vérifiée par son smartphone.
Les trois chercheurs soulignent que le développement de cette application n’a pas nécessité de hacker le système Android ni de bénéficier de privilèges de développeurs liés à cette plateforme. Ne cherchez pas l’application dans votre Google Store : les développeurs ne l’ont pas rendu publique !
September 09, 2020 at 11:30AM
https://ift.tt/3m2f0ww
Quand deux smartphones et une application Android suffisent pour hacker les cartes Visa sans contact - cybersécurité - L'Usine Nouvelle
https://ift.tt/2VeiiB7
Android
No comments:
Post a Comment