Effacer

Paiement sans contact : une faille de sécurité découverte

Par Anton Kunin | Mis à jour le 02/09/2020 à 11:22

Des chercheurs suisses viennent de publier un article scientifique où ils décrivent comment ils ont pu exploiter avec succès une faille dans le standard de paiement par carte bancaire EMV. Dans leur viseur, le paiement sans contact par cartes Visa.

Paiement sans contact
Dit simplement, le paiement sans contact est plus « permissif » que le paiement avec lecture de la puce.

Le paiement sans contact concentre la plus forte proportion de transactions frauduleuses

Le paiement sans contact, on le sait, est moins sécurisé que le paiement par carte bancaire traditionnel, avec insertion de la puce dans le terminal. En 2018 (dernières données disponibles), le paiement sans contact chez des commerçants français avec des cartes émises en France comportait un taux de fraude de 0,020%. C’est deux fois plus que le taux de fraude sur les paiements traditionnels (0,010%) et même plus que le taux de fraude sur les paiements à distance (0,173%).

Des chercheurs suisses, qui se sont plongés dans l’étude des 2.000 pages de la description du standard de paiement EMV (qui est utilisé pour le paiement par cartes bancaires partout dans le monde), viennent donc de démontrer que des individus mal intentionnés sont en mesure d’exploiter une faille dans le standard EMV qui leur permet de régler des achats sans avoir à saisir de code secret. Et ce, même pour des montants supérieurs à 50 euros.

Une application Android créée de toutes pièces capable de tromper le terminal de paiement

Lorsque vous réglez un achat par carte bancaire, la puce de la carte, le terminal et la banque émettrice échangent un certain nombre d’informations selon un algorithme bien défini. Plusieurs cas de figure peuvent se présenter : le terminal peut être connecté à Internet ou être hors ligne, la puce de la carte et le terminal peuvent ou non être compatible avec le standard de sécurité le plus récent, le terminal, enfin, selon la manière dont il est paramétré, peut ou non solliciter systématiquement la banque émettrice pour authentifier en temps réel les transactions.

Au cours de leurs expériences, les chercheurs suisses utilisaient un smartphone NFC pour ce qu’on appelle communément le paiement par smartphone. Lorsque le terminal du commerçant envoie sur le smartphone du client une demande de saisie du code secret, le smartphone (équipé d’une application Android spécialement conçue pour les chercheurs) répond que la saisie du code secret n’est pas nécessaire car le détenteur de la carta a déjà été authentifié au moyen de son smartphone, excluant de ce fait l’envoi d’une requête d’authentification à la banque émettrice. Résultat : la transaction passe, et l’escroc quitte le magasin avec la marchandise !

À lire aussi : Arnaque au paiement sans contact : quels sont vos recours ?

Article précédent Lidl : le robot cuiseur de retour avant Noël
Article suivant Restauration : McDonald’s s’implante désormais dans les campagnes
Réduisez vos factures grâce à nos conseils finances
Merci de vous être inscrit à notre newsletter !
En cliquant sur "Recevoir la newsletter", vous acceptez les CGU ainsi que notre politique de confidentalité
décrivant la finalité des traitements de vos données personnelles.