Actualités et guides des crédits, leasing, épargnes et des services bancaires en Suisse

Plus de 9 milliards de cartes de crédit sont victimes d’une faille de sécurité

Si vous ne voulez pas vous faire pirater votre carte de crédit, privilégiez MasterCard à Visa

David Basin, Ralf Sasse, et Jorge Toro-Pozo, tous les trois chercheurs au département de science informatique de l’EPFZ, ont découvert une importante faille de sécurité qui touche toutes les cartes de crédit Visa. Il s’agit plus précisément d’une vulnérabilité concernant Europay Mastercard Visa (EMV), un standard international de sécurité utilisé par plus de 9 milliards de cartes de paiement. Selon les chercheurs, il est possible d’utiliser une carte VISA illégalement, sans devoir être en possession du code PIN de la victime.

Le point faible de ces cartes bancaires ? Le paiement sans contact, affirment les trois scientifiques. Et nul besoin d’outils sophistiqués ou des dernières inventions high-tech du marché: une carte de crédit et deux smartphones Android suffisent. Grâce à l’absence d’authentification dans le protocole de paiement, modifié à l’occasion, il est possible de faire croire au terminal de paiement d’un vendeur et à la carte Visa attaquée que les montants payés sont inférieurs au seuil nécessitant de valider l’achat par code PIN. Ainsi, un malfaiteur peut non seulement dépasser les limitations habituelles, comme le plafond des paiements par carte sans contact ou encore le nombre de paiements sans contact journalier autorisés. Bref, le meilleur moyen de se protéger est de bloquer immédiatement votre carte de Visa si vous veniez à la perdre.

Les chercheurs l’affirment: il ne s'agit pas d’un hack élaboré. (Source: EPFZ)

Les chercheurs de l’EPZ ont d’ores et déjà prévenu Visa de la faille et ont publié près de 2000 pages de documentations pour expliquer les spécificités de l’attaque. Les cartes Discover et UnionPay sont également affectées par cette faille, au contraire de MasterCard, American Express et JCB qui utilisent un protocole de sécurité autre que celui de Visa. Quant au principal intéressé, Visa, il explique prendre les mesures adéquates pour corriger cette vulnérabilité.

Source : arxiv.org (EN) : The EMV Standard: Break, Fix, Verify (.pdf)

Catégorie