Sécurité des cartes bancaires : le chercheur qui a mis la faille au jour s'explique
Né outre-Manche, le buzz lié aux questionnements sur la sécurité des cartes bancaires à puce débarque en France. Une arrivée motivée par la diffusion attendue pour février des instructions permettant de réaliser un dispositif trompant les terminaux de paiement en leur faisant croire que le code d’identifiant personnel du porteur de la carte a bien été validé. Le fruit d’un travail de recherche de plusieurs années de l’équipe du Dr Ross Anderson, de l’Université de Cambridge, et en particulier de son acolyte, le Dr Steven J. Murdoch. Ce dernier s'explique dans nos colonnes.
Repris en écho par nos confrères du Monde, le Figaro a lancé l’alerte ce jeudi 20 janvier : « Les banques françaises sont mobilisées face à une faille identifiée par un universitaire outre-Manche », une faille qui autoriserait des fraudes conséquentes avec ces cartes bancaires à puce prétendument hautement sécurisées. Branle-bas de combat généralisé ? Pas tant que ça, au grand dam du chercheur qui a révélé la faille aux autorités concernées, Steven J. Murdoch.
Joint par téléphone par LeMagIT, celui-ci explique : « l’attaque permet à un fraudeur d’utiliser une carte de paiement à puce volée pour régler un achat, via un terminal de paiement électronique non modifié, sans connaître le code PIN du porteur légitime de la carte bancaire. » Le plus grave, peut-être, étant selon lui que « le reçu indique que la transaction a été autorisée par code PIN », du moins était-ce le cas lors de ses tests au Royaume-Uni, pour des transactions de type offline comme online – à savoir avec ou sans communication avec les serveurs de contrôle des transactions.
"Il est probable que d’autres aient découvert la faille avant nous"
Du coup, il serait particulièrement difficile, pour le porteur de la carte dérobée, de faire la démonstration de sa bonne foi auprès de sa banque… Une déclaration de vol ou de perte ? Certes. Mais comment justifier du fait que les transactions ultérieures aient été autorisées par code PIN alors que ce code est strictement personnel et ne doit pas être communiqué à des tiers. Difficile dans ces conditions de dégager sa responsabilité face à son banquier. La question est d’autant plus importante aux yeux de Steven Murdoch que, modestement, il lui semble probable « que d’autres aient découvert la faille avant nous. » Et que celle-ci ait déjà fait des victimes qui s’ignorent.
Steven J. Murdoch est un vétéran de la sécurité des cartes à puce, un sujet auquel il consacre ses recherches, au sein de l’équipe du Dr Ross Anderson, depuis son arrivée à l’Université de Cambridge, il y a près de 6 ans. A l’automne, le chercheur est d’ailleurs intervenu sur le sujet pour la BBC dans l’émission Inside Out, pour dévoiler au grand public les fruits de ses travaux précédents : le piratage de terminaux de paiement électronique pour récupérer les données des cartes bancaires et leurs codes PIN associés… Le diaporama de sa dernière présentation publique sur le sujet, lors du 26ème congrès Chaos Communication, fin décembre dernier, est disponible depuis peu.
Sans surprise, le GIE Cartes Bancaires minimise
Du côté du GIE Cartes Bancaires, on se veut rassurant. Mais est-ce une surprise ? Pour la direction de la communication du groupement, la nouveauté, ici, c’est la publication attendue en février des indications qui permettront à des fraudeurs d’exploiter la faille découverte par Steven Murdoch. Une exploitation qui semble néanmoins difficile au GIE : « elle nécessite des équipements qui ne sont pas très discrets. » Certes. Mais ils peuvent probablement être miniaturisés. Dans un récent article de la revue de l'organisme de normalisation IEEE, Steven Murdoch se laisse d’ailleurs aller à imaginer une mise en œuvre de ce genre d’attaques par shim-in-the-middle, où l’équipement utilisé pour l’interception des communications entre terminal de paiement et carte à puce se réduit à une feuille. Toutefois, le GIE estime possible d’isoler les transactions frauduleuses, celles qui n’auraient pas vraiment été autorisées par code PIN malgré l’approbation du terminal. Sans préciser comment.