Pour la deuxième fois, une faille de sécurité est découverte dans les cartes de crédit
L'année dernière, des chercheurs de l'ETH ont découvert pour la première fois une faille dans certaines cartes de crédit. Ils sont désormais parvenus à déjouer le code PIN d'autres cartes de paiement.
Le paiement sans contact avec les cartes de crédit et de débit est rapide et simple - et se prête particulièrement bien en période de pandémie. A partir d'un certain montant, généralement 80 francs en Suisse, il faut saisir un code PIN pour plus de sécurité. Du moins en théorie. Comme l'ont montré trois chercheurs de l'Information Security Group de l'ETH Zurich, il est toutefois possible de déjouer cette barrière de sécurité avec certaines cartes. En été 2020, ils ont documenté pour la première fois, à l'exemple des cartes Visa, que le code PIN peut être surmonté (voir Actualités ETH du 1.9.2020). Les chercheurs annoncent maintenant que cela est également possible pour d'autres types de cartes de paiement, notamment Mastercard et Maestro.
La méthode utilisée par les chercheurs s'inspire notamment du principe "man-in-the-middle". Dans ce cas, le pirate manipule l'échange de données entre deux partenaires de communication, en l'occurrence entre la carte et le terminal de cartes. Pour ce faire, les chercheurs ont eu besoin d'une application Android spécialement créée et de deux téléphones portables compatibles NFC. L'application a signalé au terminal de carte de manière mensongère que, premièrement, aucun code PIN n'était nécessaire et que, deuxièmement, le titulaire de la carte avait été vérifié. Dans un premier temps, la méthode n'a fonctionné qu'avec les cartes Visa, car les autres fournisseurs utilisent un autre procès-verbal (un protocole régit la transmission des données).
Barrière de sécurité doublement déjouée
L'idée à la base de la deuxième tentative réussie de contournement du code PIN semble simple à première vue : "Notre méthode fait croire au terminal qu'une carte Mastercard est une carte VISA", raconte Jorge Toro, collaborateur à la chaire de sécurité de l'information et l'un des auteurs du document. Dans la réalité, c'est nettement plus complexe qu'il n'y para?t, ajoute l'informaticien. Deux sessions doivent fonctionner en même temps pour que cela réussisse. Une transaction Visa est effectuée avec le terminal de carte, tandis qu'une transaction Mastercard est en cours avec la carte. Les chercheurs ont appliqué cette méthode à deux cartes de crédit Mastercard ainsi qu'à deux cartes de débit Maestro de quatre banques différentes.
Les chercheurs ont immédiatement pris contact avec Mastercard après leur découverte. Ils ont également pu démontrer expérimentalement que les dispositions prises par Mastercard étaient efficaces. "L'échange avec l'entreprise a été agréable et passionnant", raconte Jorge Toro. Mastercard a adapté les mesures de sécurité en question et a demandé aux chercheurs de réessayer l'attaque. Cette fois-ci, elle a échoué. Les chercheurs présenteront le document décrivant précisément la méthode au symposium "USENIX Security '21" en ao?t.
La norme CEM, source d'erreurs
Les failles de sécurité décrites pour les cartes de paiement sans contact sont principalement liées à la norme dite EMV, une norme de protocole internationale sur laquelle reposent ces cartes. Les erreurs logiques dans ce règlement sont difficiles à trouver, ne serait-ce qu'en raison de sa longueur de plus de 2'000 pages. Sur le site web de leur projet, les chercheurs de l'ETH soulignent que de tels systèmes doivent être davantage contr?lés automatiquement, car ils sont trop complexes pour les humains.