Des chercheurs de l’École polytechnique fédérale de Zurich viennent de mettre en lumière d’importantes failles sur les cartes bancaires du réseau MasterCard. L’astuce repose sur le paiement sans contact, qui permet de régler des petits achats sans avoir à saisir le code PIN de la carte bancaire. Néanmoins, cette méthode se limite généralement à de petits montants, de quelques dizaines d’euros au maximum, ce qui limite la plupart du temps les arnaques. Mais c’était sans compter sur ces deux failles combinées, qui ont permis aux chercheurs de dépasser allègrement le plafond de paiement sans contact et de dépenser plusieurs milliers d’euros grâce à de simples smartphones, sans jamais avoir à saisir le code PIN de la carte !
Un escroc qui souhaiterait utiliser cette technique contre vous devra nécessairement avoir accès à votre carte bancaire pour accomplir ses méfaits, c’est pourquoi on vous conseille de garder votre carte MasterCard à l’abri. Concrètement, l’attaque nécessite d’avoir la carte à pirater près de soi ainsi que deux smartphones compatibles NFC. Avec une application créée pour l’occasion, les chercheurs sont parvenus à pirater la carte en la faisant tout d’abord passer pour une Visa dans l’AID (application identifier) de la carte, puis en modifiant ses CTQ (Card Transaction Qualifiers). De cette façon, la carte bancaire piratée pense que le paiement demandé a été vérifié et délivre l’argent sans jamais avoir à rentrer le code. Les chercheurs à l’origine de cette découverte expliquent par ailleurs que la même astuce serait susceptible de fonctionner sur les cartes American Express et JCB. Ils ne partagent pas le fonctionnement exact de l’astuce, pour éviter que des escrocs ne s’en emparent, mais leur expérience prouve que cela est possible et qu’il convient d’être extrêmement prudent, même si MasterCard a bien été mis en courant et aurait bloqué la faille.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
lol, ca commence mal quand il est dit qu’il faut avoir la CB avec soi….Puis il est dit que la CB délivre l’argent alors que le sans contact est par définition un paiement…
C’est pas clair leur truc.
Les banques l’ont dit : si quelqu’un tente de connaître le secret de fabrication (et donc leurs faiblesses) des CB, c’est la prison. Alors, il suffit de se taire pendant que les failles sont recherchées et exploitées.
Titre putaclic… Pourquoi “Attention !” ? La faille est colmatée et a été dévoilée une fois le patch déployé.
Quand je vois un article avec marqué “par Remi Lou”, je me méfie maintenant