Une équipe de chercheurs de l'École polytechnique fédérale de Zurich (ETH Zurich) a découvert une faille de sécurité dans le protocole sans contact EMV de Visa qui pourrait permettre aux attaquants d'effectuer des attaques par contournement du code PIN et de commettre des fraudes par carte de crédit.
Petite mise en contexte : il y a généralement une limite au montant que vous pouvez payer pour des biens ou des services en utilisant une carte sans contact. Une fois cette limite dépassée, le terminal de la carte demande au titulaire de la carte de vérifier son identité en saisissant son code PIN.
Toutefois, cette nouvelle étude, intitulée The EMV Standard: Break, Fix, Verify, a montré qu'un criminel qui a accès à une telle carte de crédit peut exploiter la faille pour des achats frauduleux sans avoir à entrer le code PIN, même dans les cas où le montant dépasse la limite.
Les chercheurs ont démontré comment l'attaque peut être réalisée en utilisant deux téléphones Android, une carte de crédit sans contact et une application Android de démonstration de concept qu'ils ont développée spécifiquement à cette fin.
« Le téléphone proche du terminal de paiement est l'appareil émulateur de carte de l'attaquant et le téléphone proche de la carte de la victime est l'appareil émulateur de point de vente de l'attaquant. Les appareils de l'attaquant communiquent entre eux par WiFi, et avec le terminal et la carte par NFC », précise les chercheurs, ajoutant que leur application n'a pas besoin de privilèges spéciaux de type root ou de hacks Android pour fonctionner.
« L'attaque consiste en une modification d'un objet de données provenant de la carte - les Card Transaction Qualifier - avant de le livrer au terminal », peut-on lire dans la description de l'attaque. La modification indique au terminal qu'une vérification du code PIN n'est pas nécessaire et que le titulaire de la carte a déjà été vérifié par l'appareil du consommateur.
Les chercheurs ont testé leur attaque de contournement du code PIN sur l'un des six protocoles EMV sans contact (Mastercard, Visa, American Express, JCB, Discover, UnionPay). Ils ont toutefois émis l'hypothèse qu'elle pourrait également s'appliquer aux protocoles Discover et UnionPay, bien que ceux-ci n'aient pas été testés dans la pratique. EMV, le protocole international standard pour le paiement par carte à puce, est utilisé dans plus de 9 milliards de cartes dans le monde et, en décembre 2019, il était utilisé dans plus de 80 % de toutes les transactions par carte dans le monde.
Il convient de mentionner que les chercheurs n'ont pas seulement testé l'attaque dans des conditions de laboratoire, mais qu'ils ont pu la mener à bien dans des magasins réels, en utilisant les cartes Visa Credit, Visa Electron et V Pay. Pour être sûrs, ils ont utilisé leurs propres cartes pour le test.
L'équipe précise également qu'il serait difficile pour un caissier de remarquer que quelque chose se tramait, car il est devenu habituel pour les clients de payer des marchandises avec leur smartphone.
Les chercheurs ont également découvert une autre vulnérabilité, qui concerne les transactions hors ligne sans contact effectuées par une carte Visa ou une ancienne carte Mastercard. Lors de cette attaque, le cybercriminel modifie les données produites par la carte, appelées « cryptogramme de transaction », avant qu'elles ne soient transmises au terminal.
Cependant, ces données ne peuvent pas être vérifiées par le terminal; seulement par l'émetteur de la carte, c'est-à-dire la banque. Ainsi, le temps que cela se produise, l'escroc est déjà loin dans le vent avec la marchandise en main. Pour des raisons éthiques, l'équipe n'a pas testé cette attaque sur des terminaux réels.
L'équipe de recherche a avisé Visa de ses découvertes.
