Déjouer le code PIN
Lorsque l'on veut payer des montants importants à la caisse avec une carte de crédit, il faut généralement confirmer avec un code PIN. Des chercheurs de l'ETH ont maintenant découvert qu'il est possible de déjouer le système de certaines cartes de crédit.
Les cartes de crédit avec lesquelles il est possible de payer sans contact sont très populaires. Elles permettent de régler facilement et rapidement de petits montants à la caisse. En même temps, elles sont considérées comme s?res, car les sommes plus importantes ne peuvent être débitées qu'après saisie d'un code de sécurité.
La base de la plupart de ces transactions est la norme EMV, qui est appliquée à plus de neuf milliards de cartes dans le monde. Cette norme a été développée dans les années 1990 par les trois grandes entreprises Europay, Mastercard et Visa (d'où le nom EMV). Bien qu'il ait été révisé à plusieurs reprises depuis lors, cet ensemble complexe de règles présente plusieurs points faibles qui peuvent être exploités.
Recherche ciblée de points faibles
Alors que d'autres spécialistes de la sécurité ont déjà découvert des erreurs dans la norme, des scientifiques de l'ETH Zurich font maintenant état d'une autre grave faille de sécurité. Les chercheurs de l'ETH présenteront leur travail, actuellement disponible en version préliminaire, lors du Symposium IEEE sur la sécurité et la protection de la vie privée 2021.
Dans un premier temps, David Basin, professeur de sécurité de l'information, Ralf Sasse, collaborateur scientifique au Département d'informatique, et Jorge Toro-Pozo, post-doctorant dans le groupe de Basin, ont examiné à la loupe les éléments centraux de la norme EMV à l'aide d'un modèle spécialement développé à cet effet. Ils ont ainsi remarqué qu'il existe une lacune critique dans le procès-verbal utilisé par l'entreprise de cartes de crédit Visa.
La faille mentionnée permet aux fraudeurs de prélever sur des cartes perdues ou volées des montants qui devraient en fait être confirmés par un code PIN. "Le code PIN est en fait inutile avec ces cartes", résume Toro. Comme d'autres entreprises comme Mastercard, American Express ou JCB utilisent un procès-verbal différent de celui de Visa, ces cartes ne sont pas concernées par la faille mentionnée. Il est toutefois possible que la faille existe également sur les cartes de Discover et UnionPay, qui utilisent un procès-verbal comparable à celui de Visa.
Simuler la possession légitime
Les chercheurs ont pu démontrer que la faille peut effectivement être exploitée dans la pratique, même si cela nécessite un certain effort. Pour ce faire, ils ont écrit une application Android qu'ils ont installée sur deux téléphones portables compatibles NFC. Les deux appareils sont donc en mesure de lire les données de la puce de la carte de crédit et d'échanger des informations avec les terminaux de paiement. Pour installer cette application, les chercheurs n'ont d'ailleurs pas eu à surmonter d'obstacles de sécurité particuliers dans le système d'exploitation Android.
Si l'on veut maintenant prélever de l'argent sans autorisation sur la carte de crédit d'un tiers, il faut d'abord lire les données nécessaires sur la carte de crédit avec le premier téléphone portable et les transmettre au second. Avec le deuxième téléphone portable, on prélève ensuite simultanément le montant souhaité à la caisse, comme le font aujourd'hui de nombreux détenteurs de cartes de crédit. L'application simule alors la possession légitime de la carte de crédit, de sorte que le vendeur ne remarque pas que l'acheteur n'est pas autorisé à effectuer la transaction. Ce qui est déterminant, c'est que l'application déjoue le système de sécurité de la carte : Bien que la somme soit supérieure à la limite que l'on peut payer sans code PIN, aucun code n'est demandé.
Test pratique réussi
Avec leurs propres cartes de crédit, les chercheurs ont pu montrer dans différents magasins que le système de fraude fonctionne réellement. "La fraude fonctionne avec des cartes de débit et de crédit émises dans différents pays dans des devises différentes", constate Toro. Les chercheurs ont déjà informé Visa de cette faille - et ont également proposé une solution concrète au problème. "Il faut trois ajouts au procès-verbal, qui pourraient être installés sur les terminaux de paiement lors de la prochaine mise à jour du logiciel", explique Toro. "L'effort à fournir serait minime. Les cartes ne doivent pas être remplacées pour cela, et tous les ajouts sont compatibles avec la norme EMV".