Trois chercheurs de l’École polytechnique fédérale de Zurich ont découvert une importante faille dans le standard Europay Mastercard Visa (EMV), censé protéger la sécurité de plus de 9 milliards de cartes de paiement.
Ils ont développé une application Android pour exploiter cette faille à l’aide de deux smartphones. Leur attaque permet d’utiliser le paiement sans contact de la carte bancaire pour n’importe quelle somme, savoir ne jamais devoir rentrer le code PIN à 4 chiffres de la carte.
Pas besoin d’outils sophistiqués pour lancer l’attaque : deux smartphones Android et une carte bancaire suffisent. // Source : Louise Audry pour Numerama
L’attaque mise en place par les chercheurs ignore les limitations habituelles des paiements sans contact, qui permettent de protéger le propriétaire de la carte en cas de vol :
- Le plafond d’un paiement par carte sans contact est de 50 d’euros.
- L’utilisateur ne peut plus payer sans contact après le dépassement d’un certain plafond journalier ou d’un certain nombre de paiements. Il devra alors entrer sa carte dans une machine et indiquer son code PIN pour de nouveau effectuer des paiements sans contact.
Si un malfaiteur exploitait la méthode des chercheurs, il n’aurait qu’à dérober une carte bancaire pour effectuer des achats onéreux. Ils pourrait ainsi tirer profit de son vol immédiatement.
Un paiement par carte bancaire déguisé en paiement par mobile
Si l’on met de côté les détails techniques de l’attaque, elle s’avère plutôt simple. Pour la mettre en place, les chercheurs utilisent deux smartphones Android (des modèles Huawei ou Pixel) sur lesquels ils ont téléchargé une application qu’ils ont développée.
Le premier smartphone est placé contre la carte bancaire volée, hors de vue du vendeur, par exemple dans la poche de l’attaquant. Ce smartphone imite un terminal de paiement grâce à un émulateur, de sorte que la carte bancaire va interagir avec lui.
Le second smartphone Android est quant à lui présenté au terminal de paiement du vendeur, sur lequel il se présentera comme une carte bancaire sans contact, grâce à un autre émulateur.
Un smartphone de gauche émule une carte de paiement, celui de droit émule un terminal de paiement. // Source : École polytechnique fédérale de Zurich
Lors de l’attaque, le premier smartphone va demander un faux paiement à la carte bancaire volée, puis modifier les détails de la transaction grâce à l’exploitation de la faille de sécurité.
Plus précisément, il va modifier un ensemble de données sur la transaction qui est généré par la carte bancaire à destination du terminal de paiement. C’est ici que le chercheur va retirer automatiquement la nécessité d’entrer un code PIN pour valider la transaction au-delà d’un certain montant.
Ensuite, le premier smartphone va envoyer ces données de transaction trafiquées par internet au second smartphone. Ce second smartphone, qui imite une carte bancaire, va prétendre qu’il a généré ces données, et va valider la transaction sur le vrai terminal de paiement, celui du vendeur.
Et voilà, le tour est joué : les chercheurs ont profité d’une l’absence d’authentification dans le protocole pour lancer leur attaque, puis ils ont abusé d’une faiblesse de la chaîne de confiance pour valider la transaction.
Une attaque encore en développement
Tout au long de leur démonstration, les chercheurs insistent sur le fait que ce piratage ne requiert pas de « hack élaboré », malgré les 2 000 pages de documentations liées au standard EMV, étalées sur plusieurs manuels.
Pour l’instant, les scientifiques n’ont pas encore publié leur article dans une revue scientifique, mais ils prévoient de présenter plus longuement leurs travaux en mai 2021. Ils affirment qu’ils ont d’ores et déjà prévenu Visa au sujet de la faille.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
