Piratage de cartes bancaires sans fil avec une application Android

Comme nous vous le montrons dans le zataz web tv n’5 de cette 4ème saison (ci-dessous, ndlr), le hack de cartes utilisant les connexions sans fil attirent de plus en plus les chercheurs, mais aussi et surtout, les pirates informatiques. Plusieurs techniques ont démontré qu’il y avait des failles à prendre au sérieux. Voici venir la première application voleuse qui exploite le RFID des cartes bancaires.

L’utilisation de cartes à puce RFID augmente de jour en jour. Il faut dire aussi que les banques nous imposent ce qui semble être un outil pratique et rapide, permettre de payer un petit achat, normalement – de 20 euros, via sa carte bancaire sans contact. La technologie NFC, qui est implantée dans les smartphones de nouvelle génération, permet de « causer » avec sa CB et les autres supports NFC (badges, …).

Des chercheurs de TrendMicro Labs ont découvert que le piratage RFID de CB devenait possible grâce à une nouvelle application pour Android. Elle a été découverte au Chili et a été baptisée ANDROIDOS_STIP.A par l’éditeur d’antivirus. Cette application est utilisée pour recharger les cartes à puce qui utilisent la RFID. Elle se propage via les blogs, forums et autres sites. Comment l’auteur de l’outil est-il capable de réécrire les informations de la carte en dépit de ne pas avoir les clés d’authentification correctes ? Il semble que son application fonctionne avant tout sur des cartes ayant une version plus ancienne de la MIFARE*.

Après avoir inspecté l’application, il a été constaté que le programme « pirate » peut lire et écrire sur les cartes à puce à travers n’importe quel téléphone équipé de la technologie NFC. Cette application particulière peut réécrire des données sur la carte, par exemple en permettant l’augmentation du solde restant sur la dite carte, soit environ 12 Euros.

Des attaques sur d’autres types de cartes MIFARE (spécifiquement MIFARE DESFire et MIFARE Ultralight) sont connus pour exister. Les chercheurs ont déclaré qu’il y avait au moins trois autres cartes vulnérables, dont une carte de sécurité sociale avec un service bancaire, une carte de paiement pour le transport, et une carte dite « ticket repas ». Les cartes faillibles ont été abandonnées par la majorité des grandes entreprises, sauf qu’il semble que certaines organisations ont préféré utiliser ces anciennes cartes mettant ainsi leurs clients en danger.

* MIFARE est une des technologies de carte à puce sans contact. 3,5 milliards de cartes et 40 millions de modules de lecture/encodage dans le monde (Wikipedia)

 

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. nolio Reply

    Bonjour,
    Surement une erreur de frappe : « normalement – de 20 euros, » au lieu de « normalement – de 20 ans, » ?
    Sinon, je ne comprends pas bien :).

  2. Thibault Reply

    Il est intéressant de noter que les téléphones compatible avec l’émulation de carte de paiement sont de facto incompatible avec la technologie mifare. Il ne s’agit donc pas de n’importe quel téléphone Android qui possède une puce NFC qui permet de faire cela. Par exemple le Nexus 5 en est tout simplement incapabl . Matériellement.

    Autre point, le principal soucis des mifare c’est que le cryptage est réalisé par la norme si je peux dire. Les donnes ne sont pas cryptées puis insérées sur le support c’est la norme mifare qui defini et implémenté le cryptage. Du coup les clés sont les mêmes pour toutes les cartes d’une même application et se retrouvent facilement sur internet. En effet la plupart des systèmes de transports sont finances par l’argent public qui impose une transparence vis a vis de l’utilisation des fonds et il n’est pas rare de trouver dans les rapports publics les clés nécessaires a la lecture / écriture sur les cartes. On trouve aussi des bases de connaissances qui resencent les clés mifares par application.

    • Jean Reply

      Mon Nexus 5 est compatible avec la technologie mifare.

      Les problèmes de certaines cartes mifare :
      – une vieille faille de sécurité permet de trouver les clés (lecture et écriture) en assez peu de temps (avec un outil open source), et donc de modifier les données de la carte,
      – des cartes fabriquées en Chine et en vente par correspondance, permettent de modifier l’uid qui est une sorte de numéro de série, et donc de dupliquer (avec un outil open source) une carte (badge bureau, etc),

      Par les cartes mifare récentes sont protégées.

      Et les vigiks sont des mifare mais avec une seconde couche de chiffrement en plus du chiffrement hardware.

  3. Sylvain Reply

    Salut,

    Une coquille dans l’article, ‘ans’ au lieu de ‘euros’ :
    « permettre de payer un petit achat, normalement – de 20 ans »

    Merci pour votre site depuis tant d’années.

    Sylvain.

  4. E. Reply

    Merci pour l’info. C’est inquiétant en tout cas…

  5. Jean Reply

    J’ai du mal à comprendre le rapport entre le titre (piratage des cartes bancaires) et le corps de l’article qui explique que l’application sert à recharger certaines cartes de type MIFARE.

  6. Pingback: ZATAZ Magazine » Carte bancaire sans contact moins sécurisée que votre carte de bus

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.