Deux smartphones et une application spéciale suffisent à réaliser des paiements de plusieurs milliers d’euros sans contact. © ETH Zurich
Tech

Attention, il est possible de pirater une carte bancaire avec un smartphone

ActualitéClassé sous :cybersécurité , MasterCard , visa

[EN VIDÉO] Qu'est-ce qu'une cyberattaque ?  Avec le développement d'Internet et du cloud, les cyberattaques sont de plus en plus fréquentes et perfectionnées. Qui est derrière ces attaques et dans quel but ? Quelles sont les méthodes des hackers et quelles sont les cyberattaques les plus massives ? 

Une nouvelle faille a été découverte dans le réseau MasterCard. En faisant passer une carte pour une Visa, il est possible de contourner la saisie du code PIN et réaliser des paiements sans contact de plusieurs milliers d'euros. MasterCard a indiqué avoir déjà mis à jour son réseau pour bloquer cette technique.

Les cartes bancaires modernes sont sécurisées grâce à leur puce qui impose la saisie d'un code PIN pour valider le règlement. Toutefois, pour simplifier le paiement de petits montants, les banques ont mis en place le paiement sans contact, utilisant la norme NFC. Cette fonction est normalement limitée à quelques dizaines d'euros, mais une nouvelle faille découverte dans le réseau MasterCard permet d'atteindre les limites de paiement classiques, soit potentiellement plusieurs milliers d'euros.

Des chercheurs de l'École polytechnique fédérale de Zurich sont parvenus à combiner deux failles afin de réaliser des règlements dépassant le plafond des paiements sans contact avec une MasterCard, et ce sans avoir à saisir de code. Pour ce faire, ils font passer la MasterCard pour une Visa, puis exploitent une faille qui concerne les cartes Visa, dévoilée au mois d'août l'année dernière, et qui permet de contourner le code PIN.

Les chercheurs montrent la validation d’un paiement en quelques secondes. © ETH Zurich

Une attaque qui s’appuie sur une faille des cartes Visa

Concrètement, cette attaque nécessite un accès physique à la carte et deux smartphones compatibles NFC. Grâce à une application spéciale, les deux smartphones communiquent entre eux par Wi-Fi, et transmettent des informations falsifiées au terminal de paiement et à la carte. L'application identifier (AID) de la carte est d'abord remplacée par celle d'une Visa. Les chercheurs modifient ensuite les Card Transaction Qualifiers (CTQ), des informations transmises au terminal de paiement, afin d'indiquer que le code PIN n'est pas nécessaire et que la carte a déjà été vérifiée sur l'appareil de l'utilisateur, comme avec Google Pay ou Apple Pay. Le paiement est alors accepté, dans les limites de la carte, soit jusqu'à plusieurs milliers d'euros.

L’attaque ne nécessite que deux smartphones compatibles NFC. © ETH Zurich

Selon les chercheurs, cette même technique pourrait être utilisée contre les cartes japonaises JCB ainsi que les cartes American Express. MasterCard a été notifié et a mis à jour son réseau afin de bloquer cette faille.

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !