Fin août 2020, des chercheurs en sécurité de l’École polytechnique fédérale de Zurich (ETH Zurich) avaient montré que l’on pouvait pirater n’importe quelle carte Visa en réalisant des transactions par NFC et en utilisant un dispositif de type Man in the Middle (Mitm). Cette attaque fait croire au terminal de paiement qu’il reçoit une transaction d’une carte virtuelle authentifiée par l’appli d’un smartphone (Apple Pay ou Google Pay par exemple) alors qu’il s’agit d’une carte physique. Résultat : le terminal de paiement ne demande pas de code PIN et le plafond de paiement est celui des transactions authentifiées (potentiellement plusieurs milliers d’euros).
Cette attaque ne fonctionne pas telle quelle avec les cartes Mastercard, dont le protocole dispose de davantage de garde-fous cryptographiques. Mais les chercheurs viennent de trouver un subterfuge qui permet de le faire quand même. En effet, en début de transaction, ils forcent le terminal de paiement à exécuter le mode transactionnel des cartes Visa, en envoyant un faux paramètre AID (Application Identifier). C’est possible, car ce paramètre est envoyé depuis la carte sans aucune authentification et peut donc être intercepté et modifié à la volée.
Attaque vérifiée sur des cartes Mastercard et Maestro
Une fois le mode Visa activé, les hackers n’ont plus qu’à dérouler la précédente attaque, en adaptant les échanges entre la carte et le terminal de paiement pour que ça colle avec le protocole Visa. Les chercheurs ont expérimenté avec succès cette attaque sur deux cartes Mastercard et deux cartes Maestro. Ce qui est étonnant, c’est que le paiement est accepté, alors que le terminal sollicite une confirmation en ligne auprès du fournisseur de la carte. Les chercheurs en concluent que le paramètre AID n’est pas vérifié lors de cette procédure de confirmation. En raison de cette zone d’ombre, ils ne savent pas si l’attaque fonctionne vraiment avec tous terminaux de paiement, dont l’implémentation du standard EMV peut parfois différer. Les chercheurs ont démontré leur attaque par le biais d’une vidéo YouTube.
La bonne nouvelle, c’est que le réseau Mastercard, alerté par les chercheurs, a implémenté des vérifications supplémentaires au niveau de son réseau pour détecter les faux AID. Et ça marche : les chercheurs ont pu constater que leur attaque ne fonctionnait plus. On est rassuré.
Source: ETH Zurich
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.