Marchés français ouverture 3 h 6 min
  • Dow Jones

    31 496,30
    +572,20 (+1,85 %)
     
  • Nasdaq

    12 920,15
    +196,65 (+1,55 %)
     
  • Nikkei 225

    28 755,54
    -108,78 (-0,38 %)
     
  • EUR/USD

    1,1908
    -0,0017 (-0,14 %)
     
  • HANG SENG

    28 708,93
    -389,36 (-1,34 %)
     
  • BTC-EUR

    42 378,78
    +416,99 (+0,99 %)
     
  • CMC Crypto 200

    1 021,21
    +78,04 (+8,27 %)
     
  • S&P 500

    3 841,94
    +73,47 (+1,95 %)
     

Attention, il est possible de pirater une carte bancaire avec un smartphone

Edward Back
·2 min de lecture

Une nouvelle faille a été découverte dans le réseau MasterCard. En faisant passer une carte pour une Visa, il est possible de contourner la saisie du code PIN et réaliser des paiements sans contact de plusieurs milliers d’euros. MasterCard a indiqué avoir déjà mis à jour son réseau pour bloquer cette technique.

Les cartes bancaires modernes sont sécurisées grâce à leur puce qui impose la saisie d’un code PIN pour valider le règlement. Toutefois, pour simplifier le paiement de petits montants, les banques ont mis en place le paiement sans contact, utilisant la norme NFC. Cette fonction est normalement limitée à quelques dizaines d’euros, mais une nouvelle faille découverte dans le réseau MasterCard permet d’atteindre les limites de paiement classiques, soit potentiellement plusieurs milliers d’euros.

Des chercheurs de l’École polytechnique fédérale de Zurich sont parvenus à combiner deux failles afin de réaliser des règlements dépassant le plafond des paiements sans contact avec une MasterCard, et ce sans avoir à saisir de code. Pour ce faire, ils font passer la MasterCard pour une Visa, puis exploitent une faille qui concerne les cartes Visa, dévoilée au mois d’août l’année dernière, et qui permet de contourner le code PIN.

Les chercheurs montrent la validation d’un paiement en quelques secondes. © ETH Zurich

Une attaque qui s’appuie sur une faille des cartes Visa

Concrètement, cette attaque nécessite un accès physique à la carte et deux smartphones compatibles NFC. Grâce à une application spéciale, les deux smartphones communiquent entre eux par Wi-Fi, et transmettent des informations falsifiées au terminal de paiement et à la carte. L’application identifier (AID) de la carte est d’abord remplacée par celle d’une Visa. Les chercheurs modifient ensuite les Card Transaction Qualifiers (CTQ), des informations transmises au terminal de paiement, afin d’indiquer que le code PIN n’est pas nécessaire et que la carte a déjà été vérifiée sur l’appareil de l’utilisateur, comme avec Google Pay ou Apple Pay. Le paiement est alors accepté, dans les limites de la carte, soit jusqu’à plusieurs milliers d’euros.

L’attaque ne nécessite que deux smartphones compatibles NFC. © ETH Zurich
L’attaque ne nécessite que deux smartphones compatibles NFC. © ETH Zurich

Selon les chercheurs, cette même technique pourrait être utilisée contre les cartes japonaises JCB ainsi...

> Lire la suite sur Futura

Ce contenu peut également vous intéresser :

À lire aussi sur Futura