Les cartes Visa victimes d’une faille permettant de vider le compte

Sécurité

Par Remi Lou le

Des chercheurs en sécurité viennent de révéler la présence d’une faille sur toutes les cartes Visa. Avec deux smartphones, il est possible d’outrepasser l’authentification demandée lors du transfert d’importants montants sans contact, de quoi vider votre compte à la vitesse de l’éclair.

Crédits : Nathan Dumlao via Unsplash

Voilà une nouvelle qui pourrait bien faire trembler les possesseurs de cartes de paiement Visa, et ils sont nombreux. Des chercheurs en sécurité de l’École polytechnique fédérale de Zurich viennent de démontrer la présence d’une faille d’ampleur sur ce type de carte. Celle-ci permet d’outrepasser l’authentification lors du transfert d’un montant élevé sans contact. Dans les faits, cela permettrait à une personne malintentionné de vider votre compte en quelques secondes si jamais il venait à mettre la main sur votre carte Visa.

Pour expliquer le procédé permettant de tirer profit de cette faille, il convient d’expliquer les différents types de paiements NFC permis par ces cartes. Le premier, couramment appelé « sans contact » par les commerçants, permet d’effectuer des paiements sans authentification en apposant simplement sa carte sur un terminal de paiement. Évidemment, cela ne fonctionne que sur de « petits » achats, et le plafond est généralement fixé à 30 euros. La deuxième méthode de paiement sans contact fonctionne bien différemment : c’est le procédé utilisé par nos smartphones avec Apple Pay ou Google Pay, notamment. Il permet bien de payer sans contact grâce au NFC, mais il nécessite une méthode d’authentification, qui est généralement celle du smartphone, donc l’empreinte digitale ou la reconnaissance faciale.

Mais voilà, les chercheurs en sécurité de l’ETH Zurich sont parvenus à transférer des sommes importantes sans authentification. Pour ce faire, ils ont utilisé deux smartphones, l’un simulant le terminal de paiement, et l’autre simulant une véritable carte. En utilisant un protocole de paiement modifié au préalable, ils sont parvenus à faire croire au terminal de paiement que l’authentification a bien été réalisé sur le smartphone, alors que ce n’était absolument pas le cas. Ils étaient alors en mesure de prélever d’importantes sommes extrêmement rapidement depuis une carte Visa, comme s’il s’agissait d’achats de moins de 30 euros. Les chercheurs à l’origine de cette découverte détaillent le procédé dans cette vidéo.

Après avoir constaté l’ampleur de cette faille, on ne saurait trop vous conseiller de bloquer votre carte Visa le plus rapidement possible si jamais vous l’avez égaré, afin qu’elle ne tombe pas entre de mauvaises mains. Du côté des cartes Mastercard, la faille ne serait heureusement pas présente. « Le protocole de paiement sans contact de Mastercard protège toutes les transactions à montant élevé » précisent les chercheurs. Mais avant de vous débarrasser de vos cartes Visa, sachez que le problème commence à être corrigé via une mise à jour des terminaux de paiement. Si cela devrait donc prendre encore un peu de temps avant qu’elle ne soit installée sur tous les terminaux disponibles chez les commerçants, il ne sera pas nécessaire de remplacer sa carte. En attendant, prenez garde de ne pas égarer votre carte Visa.

Suite à la parution de cet article, Visa nous a fait part de sa position sur le sujet. Voici leur réponse complète : “Visa traite toutes les menaces liées à la sécurité avec le plus grand sérieux, et nous apprécions les efforts de la part de l’industrie et du milieu universitaire visant à renforcer la sécurité des paiements. Les consommateurs peuvent continuer à utiliser leurs cartes Visa en toute confiance. Les évolutions des méthodes de fraude par étapes sont étudiées depuis près d’une décennie. Au cours de cette période, aucune fraude de ce type n’a été signalée. Les études et tests peuvent être intéressants, mais en réalité ce genre de méthodes s’est avéré irréalisable à mettre en place par des fraudeurs dans le monde réel. Les cartes de paiement sans contact sont très sécurisées. Intégrant la même technologie sécurisée que les cartes à puce EMV®, les cartes sans contact sont extrêmement efficaces pour prévenir la contrefaçon, car elles s’appuient sur un code à usage unique qui évite que des données compromises soient réutilisées dans un contexte de fraude.”

Terminal de Paiement Carte...
689 Commentaires
Terminal de Paiement Carte...
  • TRANSPARENCE TOTALE - Le terminal de paiement SumUp ne fait l'objet d'aucun contrat ni d'aucun...
  • UTILISATION FACILE - En 5 minutes, le lecteur de carte est installé et prêt à l'emploi....
  • TOUS LES MODES DE PAIEMENT - Sans contact ou avec une puce et un code PIN. Toutes les cartes EC...
  • PAIEMENT RAPIDE - Les virements sont effectués dans un délai rapide de 2 à 3 jours ouvrables...
Source: 01net