Ross Anderson est bien connu du groupement des cartes bancaires et de son équivalent britannique, la Financial Service Authority. Ce professeur de l’université de Cambridge, dont le dada consiste à identifier les failles des systèmes de paiement, affirme avoir réussi à contourner la sécurité présente dans les cartes bancaires à puce. Le code à quatre chiffres, qui permet de sécuriser les paiements, ne serait plus aussi secret que cela.
Cet universitaire a en effet réussi à créer un leurre. En brouillant la communication entre la puce implantée dans la carte bancaire et le terminal de paiement, il a fait croire à ce dernier que le code d’identification EMV (Europay-Mastercard-Visa) avait été saisi. Pourtant, il n’a à aucun moment tapé le code secret lié à la carte.
Selon Le Figaro, le chercheur a communiqué sa découverte aux autorités financières anglaises et à la Banque centrale européenne, en affirmant qu’il allait prochainement la dévoiler sur Internet. Cette expérience a été réalisée à partir d’une carte bancaire en circulation. Dès lors, les consommateurs doivent-ils craindre une utilisation frauduleuse de leur moyen de paiement ?
Peut-on aujourd’hui pirater ma carte bancaire avec cette méthode ?
En théorie, oui, à en croire Ross Anderson. En pratique, cela paraît aujourd’hui extrêmement difficile. Pour son expérience, le chercheur a développé le dispositif d’un système d’information qui est venu s’interposer entre la puce de la carte et le terminal de lecture.
Ce procédé nécessite du matériel encombrant et non miniaturisé. « Le scénario reste pour le moment académique », commente Jean-Marc Bornet, du Groupement des cartes bancaires. Mais rien ne dit que ce sera encore le cas dans quelques mois ou quelques années…
Ce piratage signifie-t-il que les cartes à puce ne sont plus sûres ?
Non. Dans son expérience, Ross Anderson n’a pas réussi à extraire le code d’identification de la puce. Il brouille le dialogue entre la carte et le terminal, puis fait croire à ce dernier que le code a été saisi.
Le concept de cette fraude est connu par les spécialistes en sécurité bancaire, comme une technique man in the middle (l’homme au milieu). Un élément s’insère entre la puce et le terminal. Mais pour la première fois, quelqu’un a réussi à le mettre en œuvre.
Et si quelqu’un met au point un tel dispositif, quels sont les risques ?
Il faudrait d’abord que le pirate soit en possession de votre carte bancaire. Si c’est le cas, il pourrait effectivement réaliser des achats, même sans connaître votre code secret. Cela ne serait toutefois valable que dans le cas de transactions de faibles montants, pour lesquelles il n’y a pas de demande d’autorisation de paiement en temps réel auprès du réseau bancaire.
La technique de Ross Anderson ne permet en effet pas de leurrer le dispositif dans ces cas-là. Autre conséquence : le retrait d’argent auprès d’un distributeur serait aussi impossible, là encore parce que le système effectue une demande d’autorisation.
En cas de fraude, comment prouver sa bonne foi ?
La règle générale est que les banques ne remboursent le paiement en cas de fraude que si l’identité du possesseur de la carte n’a pu être établie. Autrement dit : si vous n’avez pas saisi le code d’identification à quatre chiffres.
Mais dans le cas particulier de la découverte de Ross Anderson, le Groupement des cartes bancaires assure que « le client de bonne foi sera entièrement remboursé ». Les banques ont en effet le moyen de vérifier après coup si le code a été saisi ou non. Ces informations leur proviennent le lendemain de l’achat avec tout le détail des opérations. Le client étant disculpé, les montants de la fraude seraient à la charge des banques et non des commerçants.
Cette découverte fait-elle peser un risque sur les achats en ligne ?
Ce procédé ne concerne pas les emplettes effectuées sur le Net. Sur les sites marchands, la saisie du code d’identification EMV n’est pas nécessaire.
En revanche, à partir du moment où un voleur détient votre carte bancaire, il possède toutes les informations pour acheter sur la Toile : le numéro de la carte, sa date d’expiration ainsi que son cryptogramme visuel. Il ne pourra toutefois pas s’en servir sur les sites marchands ayant implémenté un code de sécurisation supplémentaire du type 3D-Secure.
Comment les banques ont-elles réagi à cette annonce ?
« Il n’y a pas de mobilisation particulière des banques ou du groupement carte bancaire en ce moment. Il n’y pas de péril particulier. Nous ne baissons jamais la garde et travaillons à améliorer la sécurisation des systèmes de paiement. Certains de nos ingénieurs travaillent à casser la sécurité que d’autres mettent en place », explique Jean-Marc Bonnet.
Le Groupement va travailler avec les banques pour trouver un moyen de sécuriser les communications entre la carte et le terminal de paiement. Cela passera probablement par une mise à jour des logiciels présents dans la carte comme dans le terminal.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.