Des chercheurs en sécurité de l’Université de Newcastle au Royaume-Uni ont trouvé un moyen de voler de grandes quantités d’argent, supérieures à $999,999.99, aux personnes utilisant un moyen de paiement sans contact Visa (carte ou mobile NFC).
Les cartes bancaires de paiement sans contact utilisent un cryptoprocesseur allié à la technologie RFID pour effectuer des transactions sécurisées sans avoir à insérer la carte dans un lecteur, parfois via un appareil mobile NFC équipé pouvant également être utilisé comme une carte de paiement. Un montant limite de 20 € (ou autre devise) est fixé afin de réduire les risques de fraude. Jusqu’à cette somme, il n’y a pas besoin de saisir son code PIN ni de mettre sa carte dans un TPE, tout se fait à distance et sans code.
Mais voila, l’exploitation d’une faille au sein même du protocole utilisé pourrait permettre à des cybercriminels de manipuler les cartes afin de transférer jusqu’à 999 999,99 dollars en devises sur le compte d’un escroc.
En effet, des chercheurs ont annoncés mercredi lors de la 21ème Conférence ACM, avoir découvert et mis au point une attaque qui reposent sur un “faux terminal POS” fonctionnant sur un appareil mobile qui pourrait être pré-réglé sur une grosse somme d’argent, permettant alors un transfert sans fil jusqu’à 999 999,99 unités, peu importe la devise :
“Avec un téléphone mobile, nous avons créé un faux terminal de point de vente qui pourrait lire une carte dans un portefeuille,” déclare Martin Emms, chercheur principal du projet. “Tous les contrôles sont effectués sur la carte plutôt que le terminal, et ce, jusqu’au moment de la transaction, il n’y a donc aucun soupçon possible. En pré-réglant la quantité d’argent que vous souhaitez transférer, vous pouvez alors discrètement approcher votre téléphone portable de la poche de quelqu’un ou le faire glisser sur un portefeuille posé sur une table et ainsi approuver une transaction. Lors de nos tests, il a fallu moins d’une seconde pour que la transaction ne soit approuvée”.
Toutefois, l’équipe de chercheurs n’a pas testé la façon dont le système de Visa réagi à un tel transfert de devises. Ils ne savent donc pas si un quelconque drapeau d’alerte pour fraude est levé ou pas.
Quoi qu’il en soit, les experts craignent que le système des cartes de paiement sans contact ne soit précaire, et que les cybercriminels puissent probablement exploiter le défaut afin de mettre en place des centaines ou des milliers de transactions frauduleuses en plus petites quantités pour échapper à la détection automatique.
“Notre recherche a identifié une vulnérabilité réelle dans le protocole de paiement, ce qui pourrait ouvrir la porte à une fraude potentielle à grande échelle par des cybercriminels qui cherchent constamment des façons d’enfreindre le système“, a déclaré Emms.
Dans un rapport sur la BBC, Visa Europe, a déclaré “avoir passé en revue les conclusions de l’étude dans leurs efforts constants pour combattre la fraude bancaire” et que l’étude “ne prend pas en compte les multiples garanties mises en place par le système Visa”, ajoutant qu’il serait “très difficile de réaliser ce type de transaction en dehors d’un environnement de laboratoire “.
Visa Europe a également déclaré que la société met à jour sa protection afin d’exiger que certaines transactions par carte de paiement sans contact soient authentifiées en ligne, ce qui rendra ce genre d’attaque plus difficile à réaliser.
Les commentaires sont fermés.