Des chercheurs en sécurité signalent une nouvelle faille d’authentification dans les paiements sans contact par carte Visa
La sécurité a été trouvée dans les cartes de paiement Visa, permettant aux attaquants d’effectuer un nouveau type d’attaque classée comme contournement de code PIN. Cela leur permet de manipuler les terminaux de paiement pour accepter des transactions par carte à partir de cartes non authentiques.
Une équipe de chercheurs de l’École polytechnique fédérale de Zurich (ETH Zurich) a été la première à détecter cette faille de sécurité qui pourrait permettre à des attaquants d’effectuer des attaques de contournement de code PIN et de commettre une fraude par carte de crédit.
En règle générale, il y a une limite au montant que vous pouvez payer pour des biens et services à l’aide d’une carte sans contact. Lorsque cette limite est dépassée, la résiliation de la carte demandera une vérification au titulaire de la carte en saisissant le code PIN. Mais, ce que les analystes ont montré, les criminels qui accèdent à une telle carte de crédit peuvent exploiter la faille et effectuer des achats sans avoir le code PIN lorsque le montant dépasse la limite.
Pour qu’une attaque se produise, les escrocs ont besoin des détails de la carte de paiement. Ils peuvent le faire en volant ou en acquérant par divers moyens. L’alternative consiste à utiliser l’option d’écrémage NFC populaire pour numériser les cartes à proximité et copier leurs détails.
Afin de démontrer comment l’attaque pourrait être menée, les chercheurs ont créé une application de preuve de concept spécialement à cet effet. Il permet de modifier le comportement des terminaux de paiement destinés à modifier les réponses de la carte avant qu’elles ne soient livrées à l’appareil.
Une fois l’attaque effectuée, les escrocs peuvent effectuer les achats en utilisant la carte des victimes et peuvent dépasser la limite de code PIN en modifiant une valeur appelée Card Transaction Qualifiers. Ils abusent de la connexion en utilisant le protocole à distance pour faire en sorte que les terminaux de paiement surmontent la vérification du code PIN et s’assurent que l’identité du titulaire de la carte a déjà été vérifiée.
Les chercheurs ont testé l’attaque de contournement PIN sur l’un des six protocoles sans contact EMV. Cependant, ils ont émis l’hypothèse que cela pourrait également s’appliquer aux protocoles Discover et Union Pay.
Les chercheurs ont également découvert une autre vulnérabilité basée sur des transactions sans contact hors ligne effectuées par Visa ou l’ancienne Mastercard. Dans cette attaque, les escrocs modifient les données produites par la carte, appelées cryptogramme de transaction, avant d’être livrées au terminal. Puisque dans ce cas, les données sont vérifiées par l’émetteur de la carte, c’est-à-dire la banque, les escrocs sont longtemps dans le vent avec les marchandises en main.