Actualités

EMV : quand le standard est impacté par une vulnérabilité affectant les cartes bancaires !

Depuis 1995, l’EMV (Europay – filiale de Mastercard, depuis 2002 – MasterCard Visa) est une norme qui vise à garantir et régir les moyens de paiement numériques intégrant une puce. Des chercheurs universitaires de l’École Polytechnique Fédérale de Zurich (Eidgenössische Technische Hochschule : ETH) ont mis en lumière une faille critique qui rendait branlant toute carte bancaire dont les paiements relatifs se faisant sous la technologie NFC. Cela concerne autant les petits montants que ceux plus conséquents.

 

En effet, selon le rapport détaillé de David Basin, Ralf Sasse et Jorge Toro-Pozo, issus de la section des sciences informatiques, deux types de vulnérabilités ont découlé de cette brèche sécuritaire : d’une part, “les criminels peuvent utiliser la carte Visa sans contact d’une victime pour des achats de grande valeur, sans connaître le code PIN de la carte” ; d’autre part, “les criminels peuvent inciter le terminal à accepter une transaction hors ligne non authentique, que la banque émettrice devrait refuser plus tard, une fois que le criminel est parti avec les marchandises. Cette attaque est possible pour les implémentations suivant la norme“. En exploitant une attaque MitM (Man-in-the-Middle), les chercheurs sont ainsi parvenus à intercepter le code PIN nécessaire pour s’authentifier (et valider un achat) en contournant, en finalité, cette étape.

 

Pour parfaire le PoC, deux méthodes algorithmiques ont été construites : une reposant sur les paiements avec contact et une autre reposant sur les paiements sans contact. L’ensemble a été structuré en étapes : en effet, afin de finaliser un paiement, la banque doit d’abord accepter la transaction avoir de soumettre l’authentification au terminal concerné (quand, par exemple, un paiement depuis une application mobile, s’opère) avant de retourner la transaction vers la banque avec ladite authentification. L’ensemble a été conçu via deux émulateurs sous TCP / IP (Wi-Fi) : un terminal pour simuler le “point de vente” et un autre terminal pour simuler la carte bancaire illégitime.

 

Concernant les paiements avec contact, entre-autres, une faille principale réside dans les protocoles d’authentification dédiées (Static Data Authentification + Dynamic Data Authentification) : depuis les PoC, il a été observé une défaillance au niveau du cryptogramme de transaction ainsi que du code secret (NIP). Une attaque MitM peut intercepter le code PIN mais l’exploit est estimé ardu, du fait qu’il faut connaître la clé privée spécifique et avoir accès au terminal où la transaction a lieu.

 

Si les attaques relatives au paiement avec contact n’étaient pas inconnues au bataillon, celles concernant les paiements sans contact, en revanche, l’étaient : l’attaque du milieu prend, également, son sein, depuis une défaillance au niveau du cryptogramme de transaction mais, aussi, du cryptogramme d’application. Originalité insécuritaire, le protocole sans contact est quasiment à nu en terme de configuration (Visa est cité) contrairement à celui de Mastercard, ce qui facilitait encore plus la manipulation frauduleuse : “notre analyse Tamarin identifie une trace pour une transaction acceptée lorsque ni le terminal ni la banque ne sont d’accord avec la carte sur les qualificatifs de transaction par carte (CTQ). Le CTQ est un champ de données provenant de la carte qui indique au terminal quel CVM doit être utilisé. La trace montre que, alors que la vue de la carte du CTQ est une demande de vérification du code PIN en ligne, la vue du terminal indique que le CVM de l’appareil grand public (CDCVM) a été exécuté, ce qui fait que le terminal considère que le processus de vérification du titulaire de la carte est terminé avec succès. Ceci est possible car aucune protection cryptographique du CTQ n’est offerte […] Cette faille est critique car elle permet à un attaquant de contourner la vérification du code PIN pour les transactions de grande valeur“, est-il souligné.

 

Comme expliqué ci-avant et selon les conclusions des chercheurs universitaires, le protocole gérant les Mastercard semble plus sécuritaire que celui relatif aux Visa. “Nous avons suggéré et vérifié des correctifs que les banques et Visa peuvent déployer sur les terminaux existants pour éviter les attaques actuelles et futures“, est-il notifié, ce qui sous-entend que le correctif serait en cours de déploiement. Via s’est exprimé sur le sujet, en réponse à la publication de Journal du Geek, au 31 Août dernier : “les consommateurs peuvent continuer à utiliser leurs cartes Visa en toute confiance. Les évolutions des méthodes de fraude par étapes sont étudiées depuis près d’une décennie. Au cours de cette période, aucune fraude de ce type n’a été signalée. Les études et tests peuvent être intéressants, mais en réalité ce genre de méthodes s’est avéré irréalisable à mettre en place par des fraudeurs dans le monde réel. Les cartes de paiement sans contact sont très sécurisées. Intégrant la même technologie sécurisée que les cartes à puce EMV®, les cartes sans contact sont extrêmement efficaces pour prévenir la contrefaçon, car elles s’appuient sur un code à usage unique qui évite que des données compromises soient réutilisées dans un contexte de fraude“… A veiller !

 

 

Source : Arxiv – 15 Juin 2020 (embargo) – EMV : protocole branlant pour les paiements avec contact et sans contact.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020