Cartes sans contact : un bug permet de dépasser la limite de 25 €


Un groupe de recherche britannique montre qu'il est possible de contourner la limite de 25 € sur les cartes sans contact. Pour Visa, cependant, il n'y a pas de risques réels

Les cartes de crédit sans contact du circuit Visa peuvent avoir des problèmes de sécurité. C'est en tout cas l'avis de chercheurs en sécurité qui, en collaboration avec la rédaction britannique de Forbes, ont réussi à effectuer des paiements de plus de 25 euros sans saisir de code PIN.

En particulier, les cartes pourraient être piratées au moyen d'attaques de type "man in the middle", ce qui permettrait de "retirer" plus d'argent que le seuil de sécurité ne le permet. Selon des expériences menées "en laboratoire" par des chercheurs, il n'y a pas de limite au montant qui peut être retiré de la carte en utilisant ce système et, par conséquent, le risque de fraude est très élevé. En outre, bien que cette fraude ait été simulée au Royaume-Uni, elle est possible partout car elle s'appuierait sur des vulnérabilités inhérentes à la manière dont les transactions sans contact sont effectuées. Mais, répondant à Forbes, Visa estime qu'il n'y a pas de réel danger pour les utilisateurs et leurs cartes sans contact et, par conséquent, aucun " correctif " n'est en place.

Comment fonctionne l'arnaque aux cartes sans contact

Pour débloquer les cartes sans contact pour les paiements sans code PIN supérieurs à 25 €, les chercheurs ont utilisé un matériel spécialement construit pour intercepter et modifier les communications entre la carte et le lecteur. Par exemple, on peut faire croire à la carte qu'une vérification, comme la saisie d'un code PIN, n'est pas nécessaire, même si le montant demandé est supérieur à 30 £ (cette arnaque a été tentée au Royaume-Uni, mais elle fonctionne partout dans le monde). De cette manière, le lecteur de cartes autorise les transactions de n'importe quel montant.

Il est également possible d'utiliser un smartphone pour tapoter une carte et la cloner pendant un court instant : le smartphone parvient à intercepter le "cryptogramme de paiement" de la carte, qui garantit l'authenticité des futurs paiements. Le cryptogramme peut ensuite être envoyé à un deuxième téléphone, qui simule un paiement mobile via la carte clonée. Les pirates peuvent alors dépasser le montant maximal en effectuant la même attaque de type man-in-the-middle décrite ci-dessus.


VISA : pas de risque réel

Un porte-parole de VISA confirme l'existence de cette vulnérabilité dans le circuit, mais minimise fortement le risque pour les détenteurs de cartes sans contact : "Une limitation clé de ce type d'attaque est qu'elle nécessite une carte physiquement volée qui n'a pas encore été signalée à l'émetteur de la carte. En outre, la transaction doit passer les validations et les protocoles de détection de l'émetteur. Il ne s'agit pas d'une approche de fraude évolutive que nous voyons généralement les criminels employer dans le monde réel."


Laisser un commentaire