Des failles présentes sur certaines cartes bancaires permettraient à des escrocs de les pirater pour y effectuer des achats allant jusqu’à plusieurs milliers d’euros… simplement grâce à deux smartphones et sans avoir accès au code PIN de la carte.

Des chercheurs de l’École polytechnique fédérale de Zurich viennent de mettre en lumière d’importantes failles sur les cartes bancaires du réseau MasterCard. L’astuce repose sur le paiement sans contact, qui permet de régler des petits achats sans avoir à saisir le code PIN de la carte bancaire. Néanmoins, cette méthode se limite généralement à de petits montants, de quelques dizaines d’euros au maximum, ce qui limite la plupart du temps les arnaques. Mais c’était sans compter sur ces deux failles combinées, qui ont permis aux chercheurs de dépasser allègrement le plafond de paiement sans contact et de dépenser plusieurs milliers d’euros grâce à de simples smartphones, sans jamais avoir à saisir le code PIN de la carte !

Un escroc qui souhaiterait utiliser cette technique contre vous devra nécessairement avoir accès à votre carte bancaire pour accomplir ses méfaits, c’est pourquoi on vous conseille de garder votre carte MasterCard à l’abri. Concrètement, l’attaque nécessite d’avoir la carte à pirater près de soi ainsi que deux smartphones compatibles NFC. Avec une application créée pour l’occasion, les chercheurs sont parvenus à pirater la carte en la faisant tout d’abord passer pour une Visa dans l’AID (application identifier) de la carte, puis en modifiant ses CTQ (Card Transaction Qualifiers). De cette façon, la carte bancaire piratée pense que le paiement demandé a été vérifié et délivre l’argent sans jamais avoir à rentrer le code. Les chercheurs à l’origine de cette découverte expliquent par ailleurs que la même astuce serait susceptible de fonctionner sur les cartes American Express et JCB. Ils ne partagent pas le fonctionnement exact de l’astuce, pour éviter que des escrocs ne s’en emparent, mais leur expérience prouve que cela est possible et qu’il convient d’être extrêmement prudent, même si MasterCard a bien été mis en courant et aurait bloqué la faille.