Les cartes à puce restent vulnérables

18 Août 2016

L’industrie bancaire concentre tous ses efforts, son temps et dépense beaucoup d’argent afin de protéger les cartes bancaires. Pendant des années, leur protection était basée sur des chiffres en relief et d’un champ de signature. Désormais, les puces intelligentes et mots de passes uniques montent la garde pour empêcher les cybercriminels de mettre le grappin sur votre argent.

chip-n-pin-insecure-featured

Les nouvelles cartes à puce et PIN (standard EMV) ont garanti qu’elles fourniraient une meilleure sécurité que les simples cartes à bande magnétique. Mais à peine sorties, les cybercriminels tentaient déjà de les détourner. Heureusement, les hackers ne sont pas les seuls à les tester, les experts en sécurité inspectent également ces systèmes. Des chercheurs d’entreprise ont enquêté sur des vulnérabilités dans l’équipement et l’architecture des systèmes de paiement afin d’avertir les développeurs, et qu’ils puissent réparer les failles de sécurité avant que les cybercriminels ne les découvrent.

Des chercheurs de la conférence Black Hat se sont à la fois montrés inquiétants et rassurants. Oui, les cybercriminels peuvent voler de l’argent des cartes à puce, mais les individus ne sont pas seuls pour se protéger. Deux employés de NCR Corporation, une entreprise qui développe des terminaux de paiement et des distributeurs automatiques, ont présenté une attaque sur des terminaux de paiement généralement utilisés dans les magasins et stations-services. En utilisant un petit ordinateur bon marché Raspberry Pi, ils s’introduisent dans la communication entre le principal ordinateur du magasin (autrement dit, la caisse) et le mode de paiement (autrement dit, le clavier NIP).

En général, la communication entre ces deux systèmes doit être correctement chiffrée. Mais dans de nombreux cas, le chiffrement n’est pas convenablement adapté, ou à l’aide d’anciens et faibles algorithmes. Par conséquent, les hackers peuvent réaliser des attaques de l’homme du milieu. Ils interceptent la communication des données entre le mode de paiement et l’ordinateur principal et la déchiffre.

 

En réalité, l’attaque n’extrait pas les données à cause de la sécurité de base d’une carte à puce ; certaines données, comme le code PIN, sont chiffrées sur la puce et ne sont jamais transmises ouvertement. Cependant, le hacker peut obtenir d’autres informations de la puce, des données qui sont généralement écrites sur la bande magnétique.

De cette façon, les cybercriminels sont capables de trouver le nom du propriétaire de la carte et son numéro afin d’en utiliser les données pour effectuer des paiements en ligne. Dans ce cas bien évidemment, les cybercriminels ont également besoin du code CVV2 ou CVC2 au dos de la carte, qui est habituellement tenu secret pendant la transmission des données. En revanche, les cybercriminels peuvent essayer de piéger les titulaires de cartes en leur soutirant des informations.

En plus des demandes de base telles que « Introduisez votre carte » et « Tapez votre code », les terminaux de paiement peuvent montrer un certain nombre d’autres notifications, par exemple une nouvelle demande, telle que « Introduisez votre CVV2 » (ou CVC2).

Voici une autre approche intéressante : un hacker peut ajouter d’autres demandes telles que « Erreur, veuillez renouveler votre code ». Cette fois cependant, le terminal pourrait penser qu’il s’agit d’une nouvelle demande d’informations (sans prendre en compte la sécurité). Si le piège fonctionne, le terminal envoie des données qu’il croit sécurisées sur le moment, ce qui permet aux cybercriminels d’obtenir les codes PIN des victimes.

Les chercheurs ont deux astuces simples pour les titulaires de cartes bancaires qui souhaitent se protéger. Premièrement, vous ne devez jamais taper votre code PIN deux fois lors d’une transaction. Si vous voyez apparaître une erreur et une demande de renouvellement de votre code, annulez la transaction, retirez la carte, réintroduisez-la et retapez votre code (une fois seulement). Vous devez également rester vigilant et ignorer n’importe quel type de questions inhabituelles posées par le terminal de paiement, et plus particulièrement s’il s’agit de « Quel est votre CVC2/CVV2 ? »

Le second conseil n’est pas applicable à tous les pays, mais n’en est pas moins intéressant. Les experts de NCR ont une grande confiance concernant les systèmes de sécurité des paiements mobiles (comme Apple Pay). Par conséquent, payer avec votre montre ou votre téléphone pourrait s’avérer plus sûr qu’utiliser une carte de crédit.

Bien sûr, régler avec du bon vieux liquide reste la meilleure protection qui soit contre toutes les fraudes bancaires et à la carte de crédit.