Des universitaires contournent les codes PIN pour les paiements Visa sans contact

Des universitaires contournent les codes PIN pour les paiements Visa sans contact

Une équipe d’universitaires suisses de l’École polytechnique fédérale de Zurich (ETH) a découvert un bogue de sécurité qui peut être utilisé de manière abusive pour contourner les codes PIN pour les paiements Visa sans contact. Cela signifie que si des cybercriminels sont en possession d’une carte Visa sans contact volée, ils peuvent l’utiliser pour payer des produits coûteux, au-delà de la limite des transactions sans contact, et sans avoir besoin de saisir le code PIN de la carte.

L’attaque est extrêmement discrète, selon les universitaires, et peut facilement être confondue avec un client qui paie des produits à l’aide d’un portefeuille mobile installé sur son smartphone. Mais en réalité, l’agresseur paie avec les données reçues d’une carte sans contact Visa (volée) qui est cachée sur le corps de l’agresseur.

Selon l’équipe de recherche, une attaque de ce type nécessite deux smartphones Android, une application Android spéciale développée par l’équipe de recherche et une carte Visa sans contact. L’application Android est installée sur les deux smartphones, qui fonctionneront comme un émulateur de carte et un émulateur de point de vente.

publicité

Recours à deux émulateurs

Le téléphone qui émule un dispositif de point de vente est placé près de la carte volée, tandis que le smartphone qui fonctionne comme l’émulateur de carte est utilisé pour payer des marchandises.

 Image : ETH Zurich.

L’émulateur de point de vente demande à la carte d’effectuer un paiement, modifie les détails de la transaction, puis envoie les données modifiées via le Wi-Fi au second smartphone qui effectue un paiement important sans avoir besoin de fournir un code PIN (car l’attaquant a modifié les données de la transaction pour dire que le code PIN n’est pas nécessaire). « Notre application ne nécessite pas l’obtention des droits root du système ni le piratage sophistiqué d’Android et nous l’avons utilisée avec succès sur des appareils Pixel et Huawei », ont déclaré les chercheurs.

Sur le plan technique, l’attaque est possible en raison de ce que les chercheurs décrivent comme des défauts de conception dans la norme EMV et dans le protocole sans contact de Visa.

Modification des données impliquées dans la transaction

Ces problèmes permettent à un attaquant de modifier les données impliquées dans une transaction sans contact, y compris les champs qui contrôlent les détails de la transaction. « La méthode de vérification du titulaire de la carte utilisée dans une transaction, le cas échéant, n’est ni authentifiée ni protégée cryptographiquement contre toute modification », ont déclaré les chercheurs. « L’attaque consiste en une modification de données provenant de la carte -les « Card Transaction Qualifiers” – avant de le livrer au terminal. La modification indique au terminal que : (1) la vérification du code PIN n’est pas nécessaire, et (2) le titulaire de la carte a été vérifié sur l’appareil du consommateur (par exemple, un smartphone) », ont-ils ajouté.

Ces modifications sont effectuées sur le smartphone exécutant l’émulateur du point de vente, avant d’être envoyées au second smartphone, puis relayées au dispositif point de vente réel, qui ne pourrait pas dire si les données de la transaction ont été modifiées.

Les chercheurs suisses précisent avoir testé leur attaque dans de vrais magasins. L’attaque a réussi à contourner les codes PIN sur les cartes Visa Credit, Visa Electron et VPay. L’équipe de l’ETH Zurich a informé Visa de ses conclusions.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *