Cette vulnérabilité pourrait permettre aux criminels d'accumuler des frais frauduleux sur les cartes sans avoir besoin d’en connaître les codes PIN.
Une équipe de chercheurs de l’École polytechnique fédérale de Zurich (ETH Zurich) a découvert une faille de sécurité dans le protocole sans contact EMV de Visa qui pourrait permettre aux attaquants d’effectuer des attaques par contournement du code PIN et de commettre des fraudes par carte de crédit.
Petite mise en contexte : il y a
généralement une limite au montant que vous pouvez payer pour des biens ou des
services en utilisant une carte sans contact. Une fois cette limite dépassée,
le terminal de la carte demande au titulaire de la carte de vérifier son
identité en saisissant son code PIN.
Toutefois, cette nouvelle étude, intitulée The EMV Standard: Break, Fix, Verify, a montré qu’un criminel qui a accès à une telle carte
de crédit peut exploiter la faille pour des achats frauduleux sans avoir à
entrer le code PIN, même dans les cas où le montant dépasse la limite.
Les chercheurs ont démontré comment
l’attaque peut être réalisée en utilisant deux téléphones Android, une carte de
crédit sans contact et une application Android de démonstration de concept
qu’ils ont développée spécifiquement à cette fin.
« Le téléphone proche du terminal de
paiement est l’appareil émulateur de carte de l’attaquant et le téléphone
proche de la carte de la victime est l’appareil émulateur de point de vente de
l’attaquant. Les appareils de l’attaquant communiquent entre eux par WiFi, et
avec le terminal et la carte par NFC », précise les chercheurs, ajoutant
que leur application n’a pas besoin de privilèges spéciaux de type root ou de
hacks Android pour fonctionner.
Article complet sur: