Positive Technologies, une entreprise de cybersécurité, a dévoilé le 29 juillet les travaux de deux de ses chercheurs portant sur les cartes bancaires. Leigh-Anne Galloway et Tim Yunusov ont découvert des failles qui permettraient à des hackers de contourner les limites de paiement du sans contact de 30 euros sur les cartes Visa.
À voir aussi sur Konbini
L’entreprise a testé l’attaque sur cinq banques majeures du Royaume-Uni : tous les tests se sont soldés par un succès. Cette vulnérabilité concerne aussi les banques d’autres pays.
Si la fraude à la carte bancaire à l’aide du sans contact avait déjà lieu et connaissait un essor certain, le plafond de 30 euros par paiement sans contact offrait jusqu’à présent une relative protection. Cela n’est plus le cas.
Interception des communications entre le terminal et la carte
L’attaque se fait en manipulant deux champs de données qui sont échangés entre la carte et le terminal lors d’un paiement sans contact. En temps normal, si le paiement dépasse 30 euros, la carte répond qu’elle ne peut réaliser cette transaction sans une vérification de la part du propriétaire du compte. Le terminal demande donc une vérification via le code PIN.
Positive Technologies a trouvé que ces deux obstacles (plafond et code PIN) pouvaient être surmontés en utilisant un appareil qui intercepte les communications entre la carte et le terminal. En fonctionnant comme un proxy, le dispositif agit comme un intermédiaire, régi par un hacker à proximité.
Il indique d’abord à la carte que la vérification n’est pas nécessaire, même si le montant est supérieur à 30 euros. Ensuite, il convainc le terminal que la vérification a déjà été faite.
Cette attaque est possible car Visa ne requiert pas de ses émetteurs ni de ses acquéreurs de cartes que les paiements soient sécurisés. Leigh-Anne Galloway précise sa démonstration :
“Si certains terminaux ont des contrôles s’effectuant au hasard, ceux-ci doivent être programmés par le commerçant. La sécurité du paiement dépend donc de sa discrétion. Les fournisseurs [Visa ici, ndlr] doivent faire plus d’efforts pour imposer leurs règles et élever le standard de sécurité général des paiements.”
La fraude au sans contact ne fait qu’augmenter
Au Royaume-Uni, la fraude à la carte bancaire sans contact connaît une augmentation exponentielle : 6,7 millions de livres en 2016 contre 8,4 pour la première moitié de 2018 seulement.
Tim Yunusov, responsable de la sécurité bancaire chez Positive Technologies, rappelle l’importance de réagir face à ce nouveau type de menaces :
“L’industrie du paiement croit que les paiements sans contact sont protégés par les garanties qu’elle a mises en place, mais le fait est que la fraude au sans contact ne fait qu’augmenter. Bien que ce soit un type de fraude relativement nouveau et que cela ne soit pas la priorité numéro un des banques en ce moment, si les vérifications des limites de paiement du sans contact peuvent être aussi facilement contournées, cela veut dire qu’à l’avenir nous pourrions voir de plus en plus de pertes pour les banques et leurs clients.”
Les chercheurs conseillent aux utilisateurs de cartes sans contact d’être vigilants quand ils consultent leur compte en banque afin de détecter une fraude le plus rapidement possible.
Si la banque le permet, rajouter des mesures de sécurité telles que des notifications SMS pourrait aider les consommateurs à dormir plus paisiblement.