Vulnérabilité pour les cartes bancaires sans contact
Des chercheurs en cybersécurité découvrent comment faire cracher plus de 30€ à une carte sans contact.
Les possesseurs de cartes Visa sans contact sont plus fragiles aux pirates que les autres ? Des chercheurs en cybersécurité de sa Gracieuse Majesté ont découvert comment faire payer plus de 30 euros via les bouts de plastique sans contact.
Quelques jours après l’annonce de possible escroquerie dans le Sud de la France, voilà qui rassure !
Testée sur cinq banques britanniques, la faille a permis de dépasser le seuil autorisé. Il est de 30 euros. A noter que cette fraude semble être exploitée à outrance en Angleterre.
Mais comme à chaque fois, le malheur des uns ne dépasse pas les montagnes ou la Mer. Dans ce cas-là, la Mer du Nord ! Étonnant ?!
La fraude était chiffrée à 6,7 millions de livres sterling en 2016. 8,4 millions de livres sterling impactés par ce « piratage » au premier semestre de 2018.
En 2017, elle représentait 14 millions de livres sur l’année complète.
Les chercheurs Leigh-Anne Galloway et Tim Yunusov ont remarqué que cette faille fonctionnait hors du pays.
Les escrocs contournement la limite de paiement en sans contact en profitant du fait que la société Visa n’impose pas aux émetteurs/récepteurs d’effectuer des contrôles qui permettent les paiements. Bilan, un appareil « pirate » entre la carte et le récepteur intercepte les données entre la CB et le terminal de paiement. Une attaque de l’homme du milieu (MITM). Le « matos » diffuse son message rapportant l’inutilité de la vérification. Bilan, possibilité d’extraire plus de 30 euros en sans contact.
La vulnérabilité fonctionne aussi sur un smartphone ayant enregistré la carte bancaire, comme pour Gpay, afin de profiter du paiement sans contact via le téléphone ! « L’industrie estime que les paiements sans contact sont protégés par les garanties mises en place, mais le fait est que la fraude sans contact est en augmentation« , a déclaré Tim Yunusov, responsable de la sécurité bancaire pour Positive Technologies.
Un problème qui n’est pas nouveau
Cette pseudo découverte ne date pas d’hier. En 2014, une étude de l’Unversité de Newcastle faisait déjà étant de ce problème. Dans les faits, les cartes anglaises qui possèdent deux sources pour le PayWave (Sans Contact) sont exploitées pour une faiblesse présente dans la partie PayWave ISO (donc reposant sur la piste).
Quand PayWave repose exclusivement sur la couche EMV de PayWave, le problème apparaît. Cela ne fonctionne pas.
Le second point est la possibilité d’obtenir une autorisation, mais il n’est pas possible de réaliser la compensation. C’est à dire que vous ne pouvez pas avoir l’autorisation de transaction. Lors de la demande de fond , il y a blocage. La demande de compensation sera en traitement manuelle, et sauf « agent tête en l’air« , la transaction sera refusé pour anomalie sur le journal flux.
Il peut parfois avoir des « trucs bizarres » qui sortent et qui laissent penser à des failles. Mais derrière, y a de nouveaux contrôles. C’est par exemple sur ce double contrôle que l’enseigne E.Leclerc s’était fait épinglé en France. Elle avait souhaité passer les contrôles sans contact. Au final, E.Leclerc avait bloqué, durant de longs mois, le sans contact mobile en réponse aux sanctions.
Se faire rembourser en cas de problème
En cas de problème, la banque se doit de rembourser, même si cette dernière annonce le contraire : « Pour pouvoir vous faire rembourser, il faut donc que vous soyez au courant de ces paiements frauduleux en étant vigilants sur vos comptes pendant plusieurs jours, voire semaines, suivant le vol ou la perte. Dans ce cas, comme le stipule la loi, le client doit être remboursé en cas d’utilisation de sa carte à son insu, et sans utilisation du code secret. » indique Que-Choisir.
Ah sympa ! on a enfin du nouveau dans la psychose des paiement sans contact ! Cependant l’article manque encore une fois grandement de garde fous:
-Puisque l’arnaque consiste a débloquer la limite de 30€ -qui au passage n’est évidement pas lié aux vérifications par réseau- on peut donc facilement mettre en cause sa banque, incapable d’assurer sa propre limite de sécurité par contrat et se faire rembourser. En tout cas en théorie.
-Le smartphone faut pas rever, la solution Paylib, la solution la plus prisée des banques francaises, est tres (trop) lourde en verifications, ca ne marchera jamais.
C’est pourtant pratique le paiement sans contact… Dans le cas de figure où pour une raison inconnue, le lecteur de carte affiche « carte muette », le sans-contact permet de passer outre… Par contre pas évident de suivre l’état de ses paiements sans contact : ainsi la dépense maximum autorisée (je ne parle pas du dépassement du plafond des 30 euros) n’est pas toujours simple à garder en tête…
Ce n est pas le sans contact qui est limité à 30€ , mais bien le sans « code pin».
Ps : 30€ n est pas la limite dans tous les pays , elle est même l exception ….
Comment/où peut-on se procurer un « boitier » de carte sécurisé ?
Merci
Bonjour
Votre banque peut vous proposer une pochette ;
Vous avez aussi chez votre maroquinier, des porte-feuilles équipés.
JE n’arrive pas a comprendre dans votre article la faille.
Est ce que l’on dépasse les 30€ sur une seule transaction ou est ce qu’on passe plusieurs transactions qui dépassent 30€ (qui selon les banques est d’ailleurs souvent autour de 60€ en cumul).
Quand au plafond de GooglePay je ne comprend pas le système n’a pas de plafond (autre que celui de la CB enregistrée) J’ai passé 1000€ la semaine dernière sans problème, du coup la faille permetrait d’aller au dela de la limite de la carte bancaire ?
Du coup cet article nécessite un peu d’éclaircissements…
Merci pour ton boulot dans tous les cas
Bonjour,
Le problème croisé par les chercheurs est que cela permet de dépasser le plafond autorisé par le sans contact.
Bilan, plus que 30€.
Le mieux est encore les paiements sans contact ApplePay ou GooglePay car le paiement et son montant s’affiche sur l’écran. De plus, le paiement NFC ne fonctionne que si l’appareil est déverrouillé.
Autre info, il y a de cela 1 ou 2 ans, des hackers avaient déjà démontré qu’il était possible de réaliser plusieurs paiements et en afficher un seul avec un boîtier de paiement modifié.