{"id":10079,"date":"2018-03-12T14:59:19","date_gmt":"2018-03-12T14:59:19","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=10079"},"modified":"2020-05-07T17:29:06","modified_gmt":"2020-05-07T17:29:06","slug":"chip-n-pin-insecure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/chip-n-pin-insecure\/10079\/","title":{"rendered":"Clonage de cartes \u00e0 puce et de leur code PIN : un travail br\u00e9silien"},"content":{"rendered":"

Les \u00c9tats-Unis sont r\u00e9cemment pass\u00e9s de l\u2019utilisation de cartes de cr\u00e9dit et de d\u00e9bit \u00e0 bande magn\u00e9tique consid\u00e9r\u00e9es comme dangereuses, \u00e0 l\u2019utilisation de cartes \u00e0 puce avec code PIN mieux prot\u00e9g\u00e9es et r\u00e9glement\u00e9es par les normes EMV. Il s\u2019agit d\u2019un grand pas en avant pour am\u00e9liorer la s\u00e9curit\u00e9 des transactions et r\u00e9duire la fraude par carte. On pourrait penser que la fin de ce genre de fraude \u00e0 la carte bancaire bas\u00e9e sur le clonage est proche.<\/p>\n

Cependant, nos chercheurs ont r\u00e9cemment d\u00e9couvert qu\u2019un groupe de cybercriminels br\u00e9silien a d\u00e9velopp\u00e9 une technique pour voler les donn\u00e9es des cartes et cloner avec succ\u00e8s les cartes \u00e0 puce et leur code PIN<\/a>. Nos experts ont pr\u00e9sent\u00e9 leurs recherches au SAS de 2018<\/a>, et nous allons essayer de vous expliquer ce travail complexe dans ce bref article.<\/p>\n

Gagner le jackpot aux distributeurs de billets et plus encore<\/strong><\/h3>\n

Pendant que nos chercheurs se documentaient sur le malware utilis\u00e9 par un groupe br\u00e9silien appel\u00e9 Prilex pour gagner le jackpot aux distributeurs de billets, ils ont d\u00e9couvert une version modifi\u00e9e de ce malware. Cette version disposait de caract\u00e9ristiques suppl\u00e9mentaires et \u00e9tait utilis\u00e9e pour infecter les TPV et collecter des donn\u00e9es.<\/p>\n

Ce malware pouvait modifier le logiciel du point de vente pour permettre \u00e0 un tiers de s\u2019emparer des donn\u00e9es transmises par le TPV \u00e0 une banque. Les escrocs obtenaient les donn\u00e9es de la carte de cette fa\u00e7on. Tout simplement, lorsque vous effectuez un paiement dans un magasin dont le TPV est infect\u00e9, les donn\u00e9es de votre carte sont imm\u00e9diatement transmises aux criminels.<\/p>\n

Cependant, disposer des donn\u00e9es de la carte n\u2019est qu\u2019une partie du processus. Pour voler l\u2019argent ils devaient pouvoir cloner les cartes, mais les puces et leurs multiples authentifications ont compliqu\u00e9 le processus.<\/p>\n

Le groupe Prilex a d\u00e9velopp\u00e9 toute une infrastructure qui laisse ses \u00ab\u00a0clients\u00a0\u00bb cr\u00e9er des clones de cartes, ce qui ne devrait pas \u00eatre possible en th\u00e9orie.<\/p>\n

Pour comprendre comment c\u2019est possible, vous voudrez peut-\u00eatre d\u2019abord jeter un coup d\u2019\u0153il au fonctionnement des cartes EMV<\/a>. Nous allons essayer de rester aussi simple que possible, comme nous l\u2019avons fait pour le clonage.<\/p>\n

Fonctionnement des cartes \u00e0 puce et \u00e0 code PIN habituelles<\/h3>\n

La puce de la carte n\u2019est pas seulement une m\u00e9moire flash, mais aussi un minuscule ordinateur capable d\u2019ex\u00e9cuter des applications. Lorsque la puce est introduite dans un TPV, une s\u00e9rie d\u2019\u00e9tapes commence.<\/p>\n

La premi\u00e8re \u00e9tape est l\u2019initialisation<\/em>\u00a0: le terminal re\u00e7oit les informations de base telles que le nom du titulaire de la carte, la date d\u2019expiration de la carte et la liste des applications que la carte peut ex\u00e9cuter.<\/p>\n

La seconde \u00e9tape est optionnelle et il s\u2019agit de l\u2019authentification des donn\u00e9es<\/em>. Le terminal v\u00e9rifie si la carte est authentique. Ce processus implique la validation de la carte en utilisant des algorithmes cryptographiques. C\u2019est trop compliqu\u00e9 pour vous en parler ici.<\/p>\n

La troisi\u00e8me \u00e9tape est \u00e9galement facultative et il s\u2019agit de la v\u00e9rification du titulaire de la carte<\/em>. Selon la programmation de la carte, le titulaire doit fournir le code PIN ou la signature. Cette \u00e9tape est utilis\u00e9e pour s\u2019assurer que la personne qui essaie de r\u00e9aliser le paiement avec la carte est r\u00e9ellement le titulaire.<\/p>\n

La transaction<\/em>\u00a0est effectu\u00e9e dans un quatri\u00e8me temps. Remarquez que seules les \u00e9tapes 1 et 4 sont obligatoires. Autrement dit, l\u2019authentification et la v\u00e9rification peuvent \u00eatre \u00e9vit\u00e9es, et c\u2019est l\u00e0 que les br\u00e9siliens passent \u00e0 l\u2019action.<\/p>\n

Cr\u00e9er des cartes \u00e0 l\u2019infini<\/h3>\n

Nous avons une carte qui peut ex\u00e9cuter des applications, et lors du premier contact le TPV demande des informations \u00e0 la carte pour savoir quelles applications sont disponibles. Le nombre et la complexit\u00e9 des \u00e9tapes de la transaction d\u00e9pendent des applications disponibles.<\/p>\n

Les escrocs qui r\u00e9alisent les clones de cartes ont cr\u00e9\u00e9 une application Java que les cartes ex\u00e9cutent. L\u2019application a deux capacit\u00e9s. Tout d\u2019abord, elle indique au TPV qu\u2019il n\u2019y a pas besoin de proc\u00e9der \u00e0 l\u2019authentification des donn\u00e9es. Cela signifie qu\u2019il n\u2019y a pas d\u2019op\u00e9rations cryptographiques, ce qui leur \u00e9pargne la t\u00e2che pratiquement impossible d\u2019obtention des cl\u00e9s cryptographiques priv\u00e9es de la carte.<\/p>\n

L\u2019authentification par code PIN est maintenue. Cependant, il existe une possibilit\u00e9 dans les normes EMV qui permet de choisir lorsque l\u2019entit\u00e9 v\u00e9rifie si le code PIN est correct\u2026 votre carte. Plus pr\u00e9cis\u00e9ment l\u2019application qui s\u2019ex\u00e9cute sur votre carte.<\/p>\n

Vous avez bien lu. L\u2019application des cybercriminels peut dire qu\u2019un code PIN est valide peu importe le code saisi. Cela signifie que l\u2019escroc utilisant la carte peut saisir quatre chiffres au hasard et ils seront toujours accept\u00e9s.<\/p>\n

La fraude par carte comme service<\/h3>\n

L\u2019infrastructure Prilex comprend l\u2019applet Java d\u00e9crit ci-dessus, et une application client appel\u00e9e \u00a0\u00bb\u00a0Daphne\u00a0\u00a0\u00bb pour \u00e9crire les informations sur des cartes \u00e0 puce. Les lecteurs et encodeurs de cartes \u00e0 puce, ainsi que les cartes \u00e0 puce vierges sont bon march\u00e9 et leur achat est enti\u00e8rement l\u00e9gal. Ils utilisent la m\u00eame application pour v\u00e9rifier quelle somme d\u2019argent peut \u00eatre retir\u00e9e de la carte.<\/p>\n

L\u2019infrastructure inclut \u00e9galement une base de donn\u00e9es avec les num\u00e9ros des cartes et d\u2019autres donn\u00e9es. Peu importe s\u2019il agit d\u2019une carte de cr\u00e9dit ou de d\u00e9bit. \u00a0\u00bb\u00a0Daphne\u00a0\u00a0\u00bb peut cloner les deux. Les escrocs vendent toutes ces donn\u00e9es dans un pack, principalement \u00e0 d\u2019autres criminels br\u00e9siliens, qui cr\u00e9ent et utilisent les cartes clon\u00e9es.<\/p>\n

Conclusion<\/h3>\n

Selon le rapport de fraude par carte des consommateurs mondiaux de l\u2019Aite publi\u00e9 en 2016<\/a>, on peut supposer que tous les utilisateurs ont \u00e9t\u00e9 mis en danger. Peu importe si vous utilisez une carte \u00e0 bande magn\u00e9tique ou une carte \u00e0 puce et code PIN plus s\u00e9curis\u00e9e. Si vous avez une carte, ses informations ont probablement \u00e9t\u00e9 vol\u00e9es.<\/p>\n

Maintenant que les criminels ont d\u00e9velopp\u00e9 une m\u00e9thode qui permet de vraiment cloner les cartes, il semble que ce soit une menace financi\u00e8re tr\u00e8s dangereuse. Si vous voulez \u00e9viter que l\u2019on vous vole des sommes importantes d\u2019argent \u00e0 travers la fraude par carte, nous vous recommandons de faire ce qui suit\u00a0:<\/p>\n