Les CB sans contacts exposées à un risque de détournement
Certaines cartes Visa pourraient accepter sans identification du porteur des débits à l’étranger jusqu’à un montant de… près d’un million d’euros.
Cinq chercheurs de l’université de Newcastle, au Royaume-Uni, alertent, dans une étude, sur un risque de détournement des cartes bancaires sans contact. Ils pointent une « vulnérabilité jusqu’ici non rapportée qui permet aux cartes EMV sans contact d’approuver des transactions sans limite de valeur sans saisie du code PIN du porteur, lors de transactions réalisées dans une monnaie étrangère ». En particulier, les cartes de crédit Visa « vont approuver des transactions dans une monnaie étrangère pour n’importe quel montant jusqu’à 999 999,99 € sans exiger le code PIN du porteur ». Alors même que les transactions sans code PIN sont limitées arbitrairement dans le pays d’origine du porteur, à 20 £ outre-Manche.
Des chercheurs avaient déjà montré, par le passé, qu’il était possible de collecter, à distance, à partir par exemple de terminaux Android NFC, les données sur les dernières transactions enregistrées dans la puce de la carte bancaire sans contact. Mais les chercheurs relèvent un point préoccupant : « le protocole EMV exige des cartes de paiement qu’elles s’authentifient auprès des terminaux de paiement »… mais pas le contraire. En outre, les cartes Visa sans contact peuvent approuver des transactions en mode déconnecté, laissant sur la touche les systèmes anti-fraude des banques.
De quoi laisser à imaginer que des terminaux Android NFC puissent être utilisés pour usurper l’identité de terminaux de paiement et ainsi réaliser des transactions frauduleuses, sans contact, de montant suffisamment faibles pour ne pas éveiller la suspicion. Les chercheurs assurent avoir réalisé un tel prototype.
Pour l’heure, les chercheurs se sont contentés de tester le premier volet de l’attaque : provoquer des transactions frauduleuses sans contact. Ils ne sont pas allés jusqu’à créer un compte commerçant frauduleux auprès de banques pour collecter les fonds. Ce qui ne les empêche pas de suggérer déjà des correctifs, à commencer par l’exigence de la vérification en ligne de toutes les transactions sans contact, ou de la saisie du code PIN pour les paiements dans une monnaie étrangère.