Les criminels peuvent voler l’argent des cartes bancaires à puce. Comment vous protéger ?

Le secteur bancaire consacre des efforts, du temps et de l’argent à la protection des cartes bancaires. Pendant des années, la protection consistait en des numéros perforés et un champ de signature, mais aujourd’hui, des puces intelligentes et des mots de passe uniques protègent leur argent contre les criminels.

Les nouvelles cartes à puce et à code PIN (une norme EMV) promettaient une sécurité plus élevée que les simples bandes magnétiques, mais il n’a pas fallu longtemps pour que les criminels tentent de contourner leur protection. Heureusement, les criminels ne sont pas les seuls à les tester ; des experts en sécurité examinent également les systèmes. Les chercheurs de l’entreprise ont recherché les vulnérabilités des dispositifs et de l’architecture du système de paiement pour alerter les développeurs afin qu’ils puissent corriger ces vulnérabilités avant que les criminels ne puissent les utiliser pour y accéder.

La conférence Black Hat des chercheurs a suscité l’espoir et la crainte : oui, les criminels peuvent voler l’argent des cartes à puce – mais vous n’êtes pas impuissant à le faire. Deux employés de NCR Corp, une société qui développe des terminaux de paiement et des distributeurs automatiques de billets, ont attaqué des terminaux de paiement couramment utilisés dans les magasins et les stations d’essence. En utilisant des ordinateurs Raspberry Pi petits et peu coûteux, ils ont pénétré la communication entre l’ordinateur principal du magasin (en gros, la caisse enregistreuse) et le module de paiement (en gros, le clavier NIP.)

En général, la communication entre ces systèmes doit être correctement cryptée, mais dans de nombreux cas, le terminal utilise un cryptage faible. Cela a permis aux criminels de mener des attaques de type “homme au milieu” : ils interceptent et cryptent les communications entre le module de paiement et l’ordinateur principal.

En réalité, l’attaque ne permet à aucune donnée de passer à travers la sécurité de base de la carte ; certaines données, comme le code PIN, sont cryptées sur la puce et ne sont jamais transmises ouvertement. Cependant, les attaquants peuvent obtenir d’autres informations de la puce – des données qui sont normalement écrites sur la bande magnétique.

Cela permet aux criminels de connaître le nom et le numéro de carte du propriétaire et d’utiliser ces données pour les paiements en ligne avec la carte de la victime. Bien entendu, dans ce cas, les criminels ont également besoin du code CVV2 ou CVC2, qui se trouve au dos de la carte – qui est normalement tenu secret pendant le transfert des données. Mais les criminels peuvent essayer de tromper les propriétaires de cartes pour qu’ils révèlent les informations.

En plus des invites standard, telles que “Insérez votre carte” et “Entrez votre code PIN”, les terminaux de paiement peuvent afficher de nombreux autres messages – une nouvelle invite, par exemple, telle que “Entrez votre CVV2 (ou CVC2)”.

Voici une autre approche intéressante : un criminel peut ajouter quelque chose comme “Erreur, entrez à nouveau votre code PIN” – mais cette fois, le terminal supposerait qu’il demande des informations ouvertes et non protégées. Si cette astuce fonctionne, le terminal enverra des informations protégées comme étant non protégées, et les criminels recevront le code PIN des victimes.

Les chercheurs proposent deux conseils simples aux détenteurs de cartes qui veulent rester en sécurité. Premièrement, ne saisissez jamais votre code PIN deux fois lors d’une transaction. Si vous voyez un message d’erreur et êtes invité à saisir à nouveau votre code PIN, annulez la transaction, retirez la carte, réinsérez la carte et saisissez votre code PIN (mais une seule fois). Vous devez également être vigilant et ignorer les questions inhabituelles du terminal de paiement – surtout s’il s’agit de “Quel est votre CVC2/CVV2 ?

Le deuxième conseil ne peut pas être appliqué dans tous les pays, mais il est assez intéressant. Les experts du NCR ont une haute opinion de la sécurité des systèmes de paiement mobile (comme Apple Pay), donc payer avec votre montre ou votre téléphone peut être plus sûr que d’utiliser votre carte de crédit.

Bien entendu, payer avec de l’argent liquide est la meilleure protection contre la fraude bancaire et la fraude par carte de crédit.