Vidéo: "skimming" de catre bancair (Novembre 2024)
Pour nos lecteurs américains, payer avec une carte de crédit signifie glisser une bande magnétique. Mais pour les citoyens de la plupart des pays d’Europe et d’autres pays, cela signifie qu’il faut insérer votre carte à puce dans un lecteur et entrer votre code PIN. Cette solution dite à puce et à code PIN a longtemps été présentée comme étant de loin supérieure au swipe américain, et dans la plupart des cas, elle l’est. Cependant, la manière dont le système a été mis en œuvre pose de sérieux problèmes.
Ross Anderson a présenté l'historique de son équipe d'investigation sur les cartes à puce et les codes PIN au Black Hat cette année. Pour un système conçu pour être plus difficile à tricher, Anderson avait un mot surprenant à dire.
Une cavalcade de défauts
Un rappel rapide sur la puce et le code PIN: les consommateurs insèrent leurs cartes lors de leurs achats. Ils saisissent ensuite leur code PIN, ce qui est confirmé par la carte sur l'appareil. Lorsqu'il fonctionne, le code PIN ne doit jamais quitter le lecteur. La carte discute ensuite avec la banque pour authentifier la transaction et la vente est effectuée. Sur le papier, ça sonne bien.
Anderson a découvert plusieurs vulnérabilités inconnues découvertes par lui et son équipe, ainsi que d’autres qui ont été observées dans la nature, puis inversées par des experts en sécurité.
De nombreuses attaques se sont concentrées sur les appareils que les marchands utilisaient pour effectuer des transactions et les guichets automatiques. Son équipe a découvert que plusieurs dispositifs n’étaient en fait pas conformes aux spécifications de sécurité qu’ils prétendaient respecter. Avec un minimum d'effort, il a dit qu'ils pourraient mettre sur écoute les appareils et extraire le code PIN lors d'une vente.
D'autres attaques ont impliqué l'installation de ce que Anderson a appelé "une méchante électronique" sur des lecteurs pour capturer des données de transaction. Dans un cas, des escrocs ont installé leurs produits diaboliques sur des lecteurs de cartes avant même qu’ils soient livrés à des marchands.
Mais il y avait beaucoup d'autres attaques, telles que l'intégration d'éléments électroniques directement sur des cartes à puce et à code PIN, la connexion de cartes à des périphériques cachés permettant à un voleur d'autoriser la carte avec n'importe quel code, et même des attaques qui "rejouaient" des transactions à différents endroits.
Techniquement supérieur, pratiquement problématique
J'ai demandé à Anderson si, après tous les défauts qu'il a trouvés avec puce et épinglette, il pensait toujours que c'était mieux que de glisser des cartes. Il était sans équivoque: les cartes à puce et les codes PIN sont techniquement supérieurs simplement parce qu’ils sont beaucoup plus difficiles à cloner que les cartes à glisser.
Le plus gros problème réside dans la manière dont la puce et le code PIN ont été déployés en Europe. Anderson a expliqué que pour obliger les commerçants européens à changer de fournisseur, les banques ont promis aux commerçants qu'ils seraient tenus responsables des accusations frauduleuses. Avec les cartes magnétiques, une accusation frauduleuse est simplement inversée chez le commerçant. Anderson a appelé cela "déplacer la responsabilité."
Cela semble être un bon plan, mais la réalité était assez cruelle. Anderson a déclaré que les banques accusaient fréquemment les victimes de fraudes d'être accusées d'avoir dévoilé leurs NIP d'une manière ou d'une autre. Dans d'autres cas, les banques ont simplement changé d'avis et renversé les frais facturés aux commerçants. Dans des cas extrêmes, les banques et les sociétés de cartes de crédit ont refusé de porter plainte contre des escrocs connus, apparemment sans gêne.
Il semblait que personne ne voulait assumer la responsabilité de la fraude liée aux cartes à puce et aux NIP. Anderson a demandé, "si la banque ne paye pas pour la fraude, pourquoi voudraient-ils se casser la gueule pour la garder en sécurité?"
Anderson a également critiqué les auteurs de la documentation sur la puce et le code PIN pour ne pas avoir une vision claire et avoir laissé la spirale incontrôlable. Il a appelé cela une tragédie des biens communs et a noté que personne ne s'est proposé pour créer une version mise à jour qui pourrait réellement apporter les modifications de sécurité nécessaires à la norme.
Venant en Amérique
Nos lecteurs américains, satisfaits de leurs cartes magnétiques, se demandent peut-être pourquoi cela leur importe. Il y a une raison simple: les cartes à puce et NIP sont sur le point d'être introduites dans ce pays. Anderson a déclaré que les banques sont prêtes à faire la transition d’ici 2015.
Les choses ne vont peut-être pas si mal dans ce pays. D'une part, seules certaines banques optent pour les systèmes à puce et à NIP, tandis que d'autres banques vont déployer des cartes à puce et à signature. Ce plan d'authentification a été utilisé à Singapour et vise à renforcer la protection des consommateurs. Anderson a également noté que le rôle de la Réserve fédérale dans le secteur bancaire américain offrait également une plus grande protection des consommateurs - en supposant qu'il ne soit pas sérieusement érodé dans un proche avenir.
Il a également souligné le rôle que le public Black Hat pourrait jouer. "Ce n'est pas un protocole unique; c'est une boîte à outils volumineuse, aléatoire et astucieuse pour la création de protocoles de paiement", a-t-il déclaré. "Vous pouvez proposer quelque chose de vraiment sécurisé ou de vachement horrible."
En espérant que nous obtenons l'ancien.
