Une faille de sécurité grave dans les cartes Visa peut gonfler votre note jusqu’à $ 999,999.99

Une équipe de chercheurs de l’Université de Newcastle au Royaume-Uni, a découvert une faille de sécurité grave dans les cartes Visa qui permettent le paiement sans contact.

Normalement, lorsque plus de 20 livres ($ 31/25 euros) sont facturés sur une carte en utilisant le paiement sans contact, l’utilisateur doit insérer une clé privée pour autoriser la transaction. Cependant, le système ne parvient pas à inscrire un montant en devises étrangères et peut donc le paiement être gonflé jusqu’à 999,999.99 $, explique le site Gizmodo .
Visa_codesure_cardVisa avec code de sécurité, source de l’image: Wikipedia
Des chercheurs ont découvert que la fraude peut se faire à partir de n’importe quel téléphone avec la technologie NFC, puisque cela autorise les transactions seulement en les rapprochant d’un terminal de point de vente, la carte fonctionnant comme si elle était connectée à un terminal de point de vente.

« Il suffit de déterminer à l’avance le montant à transférer, d’approcher votre téléphone d’un endroit dans lequel une catre NFC pourrait se situer (table, poche, portefeuille, etc…). Lors de nos tests, la transaction a été approuvée en moins d’une seconde », explique Martin Emms, auteur principal de l’étude.


Les chercheurs expliquent qu’il est très probable que la fraude soit multipliée à de très nombreuses reprises et avec de petites quantités plutôt qu’une grosse en une seule fois pour ne pas éveiller les soupçons.
Source: Russia Today, traduction LME
En effet, ces cartes sont potentiellement dangereuses, et représentent de gros risques, un fait qui est dénoncé depuis longtemps déjà:

a technologie NFC, qui permet notamment d’effectuer ses achats en passant sa carte bancaire devant une simple borne, était déjà décriée par de nombreux experts sécurité. L’application Paycardreader (Android) finit d’achever la réputation de ce mode de communication sans fil, en prouvant qu’il est possible de récolter des dizaines de coordonnées bancaires à la minute, simplement en restant immobile à un endroit très passant. Aie.

Comme le Wi-Fi, le NFC (Near Field Communication, ou Communication en Champ Proche) est une technologie de communication sans-fil, et donc, comme le Wi-Fi, les manières d’intercepter les informations via les airs ne manquent pas… Sauf que le NFC est surtout utilisé pour les paiements, et que chaque communication transmet des coordonnées bancaires ! Des informations pour le moins sensibles !

Concrètement, il est aujourd’hui possible, avec une carte bancaire équipée d’une puce NFC, de payer ses courses, simplement en passant son portefeuille devant une borne. En France, l’usage des puces NFC est notamment répandu dans les cartes de transport (bus, métro, etc.).

Or, de la même manière que le vol de données bancaires sur des cartes bleues RFID, récolter via les airs des informations bancaires sur des cartes NFC n’est pas très compliqué. La preuve avec une application Android dédiée à cette activité : Paycardreader. Et pas besoin d’être un hacker de haut vol pour l’installer sur son smartphone ou sa tablette compatible NFC… Une fois en marche, il suffit de camper avec son appareil mobile au cœur d’un lieu très passager (galerie commerçante, métro, etc.), et de laisser l’engin scanner les cartes bancaires NFC qui passent à proximité.

Ainsi, en quelques minutes, il est possible de récolter de nombreux identifiants bancaires :

  • Numéro des cartes
  • Nom et prénom des propriétaires
  • Date de fin de validité des cartes
  • Montant des derniers achats effectués

On estime qu’il suffit d’être à 10 mètres d’une cible pour capter ses informations par NFC.

Comment empêcher nos émissions NFC ?

Si vous êtes titulaire d’une carte bancaire équipée d’une puce NFC, mieux vaut être prudent, maîtriser les émissions de la puce, et adopter une de ces deux solutions :

  • Entourer la carte d’une feuille d’aluminium, ou la ranger dans une pochette spéciale qui stoppe les ondes
  • Demander à la banque de désactiver la puce NFC, ou d’obtenir une carte sans puce NFC (ou RFID)

L’application Android Paycardreader n’a pas fait long feu sur le market officiel Google Play. Mais malgré ce retrait, il est toujours possible de trouver le code source de cette application sur le web. Et nul doute que d’autres programmes du style apparaîtront tôt ou tard. Alors soyez prudents !

Et si vous pensez utiliser ce genre d’application pour votre enrichissement personnel, sachez que les sanctions judiciaires encourues risquent fort de vous faire regretter cette aventure technologique !

Source : nikopik.com via Panoptinet.com

12 commentaires