Des chercheurs au Royaume-Uni affirment avoir découvert de plus en plus de preuves que des voleurs exploitent discrètement les défauts de conception d’un système de sécurité largement utilisé en Europe pour prévenir la fraude par carte de crédit et de débit aux distributeurs automatiques de billets et aux points de vente.
Les entrailles d’une carte à puce et code PIN.
Il s’agit d’un système anti-fraude appelé EMV (abréviation de Europay, MasterCard et Visa), plus communément appelé « puce et code PIN ». La plupart des banques européennes ont des cartes compatibles EMV, qui incluent un algorithme secret intégré dans une puce qui code les données de la carte, ce qui rend plus difficile pour les fraudeurs de cloner les cartes pour les utiliser sur des terminaux compatibles EMV. Chip-and-PIN n’est pas encore largement pris en charge aux États-Unis, mais les principales marques de cartes poussent les banques et les fabricants de guichets automatiques à prendre en charge la technologie dans les deux à trois prochaines années.
Les normes EMV exigent que les cartes soient authentifiées auprès d’un terminal de paiement ou d’un guichet automatique en calculant plusieurs informations, notamment le montant du débit ou du retrait, la date et un soi-disant « numéro imprévisible ». Mais les chercheurs du laboratoire informatique de L’université de Cambridge disent avoir découvert que certains terminaux de paiement et guichets automatiques ne reposent que sur de simples compteurs ou sur des nombres incrémentiels assez prévisibles.
« Le problème actuel est qu’au lieu d’avoir le nombre aléatoire généré par la banque, il est généré par le terminal du commerçant », a déclaré Ross Andersonprofesseur d’ingénierie de la sécurité à Cambridge et auteur d’un article publié cette semaine intitulé « Chip and Skim : Cloning EMV cards with the Pre-Play Attack ».
Anderson a déclaré que le fait de ne pas spécifier que les terminaux des commerçants devraient insister sur des nombres véritablement * aléatoires *, au lieu de simplement des nombres non répétitifs – est au cœur du problème.
« Cela conduit à deux échecs potentiels : si le terminal du commerçant ne génère pas de nombre aléatoire, vous êtes bourré », a-t-il déclaré lors d’une interview. « Et la seconde est que s’il y a un dispositif d’interception malveillant entre le terminal du commerçant et la banque, comme un logiciel malveillant sur le serveur du commerçant, alors vous êtes également bourré. »
L’aspect « pré-jeu » de l’attaque mentionné dans le titre de leur article fait référence à la capacité de prédire le nombre imprévisible, ce qui permet théoriquement à un attaquant d’enregistrer tout depuis la transaction par carte et de la rejouer et de se faire passer pour la carte en plus. transactions à une date et un lieu futurs.
Anderson et une équipe d’autres chercheurs de Cambridge ont lancé leurs recherches il y a plus de neuf mois, lorsqu’ils ont commencé à entendre des utilisateurs de cartes bancaires européennes dire qu’ils avaient été victimes de fraude, même s’ils n’avaient partagé leur code PIN avec personne. Les banques des victimes ont refusé de rembourser les pertes, arguant que la technologie EMV rendait la fraude alléguée impossible. Mais les chercheurs ont soupçonné que les fraudeurs avaient découvert une méthode pour prédire l’implémentation de numéros supposée imprévisible utilisée par des appareils de point de vente ou des modèles de guichets automatiques spécifiques.
Par exemple, l’équipe a entendu parler d’un professeur de physique à Stockholm qui s’est rendu à Bruxelles et a acheté un repas dans un bon restaurant pour 255 euros, et immédiatement après minuit ce soir-là, sa carte a été débitée de deux transactions de 750 euros chacune sur un autre terminal de paiement à proximité. .
Anderson a déclaré que l’équipe avait « beaucoup et beaucoup de victimes » (plusieurs autres sont mentionnées dans le rapport du groupe). article de blog sur ce papier), se plaignant de s’être fait arnaquer puis de se voir refuser l’aide de leur banque. Les chercheurs disent avoir informé les organisations appropriées du secteur bancaire de leurs conclusions au début de 2012, mais ont choisi de publier leurs travaux car ils pensent que cela aide à expliquer une bonne partie des cas de retrait fantôme non résolus qui leur ont été signalés et pour lesquels ils n’avaient auparavant aucune explication.
« Le point ici est que lorsqu’une banque refuse un client parce que [a fraudulent transaction] ressemble au clonage et le clonage n’est pas possible parce que la carte a une puce inviolable, nous montrons que ce genre de logique ne tient pas », a déclaré Anderson.
L’équipe de recherche a déclaré que son travail s’appuyait sur des données collectées à partir de plus de 1 000 transactions dans plus de 20 guichets automatiques et un certain nombre de terminaux de point de vente. Ils ont également acheté trois guichets automatiques compatibles EMV sur eBay et ont commencé à récolter systématiquement des nombres imprévisibles dans l’espoir de trouver des générateurs de nombres aléatoires prévisibles. Leurs recherches sur ce front sont en cours, mais jusqu’à présent, le groupe affirme avoir établi la non-uniformité des nombres imprévisibles dans la moitié des guichets automatiques qu’ils ont examinés.
En réponse aux demandes de la BBC, une porte-parole du groupe britannique Financial Fraud Action a minimisé la menace, déclarant à la publication : « Nous n’avons jamais prétendu que la puce et le code PIN étaient 100 % sécurisés et l’industrie a adopté avec succès une approche à plusieurs niveaux pour détecter tout type nouvellement identifié. de fraude. Ce que nous savons, c’est qu’il n’y a absolument aucune preuve que cette fraude compliquée soit entreprise dans le monde réel. Sa mise en place nécessite des efforts considérables et implique une série d’activités coordonnées, chacune comportant un certain risque de détection et d’échec pour le fraudeur.
Anderson dit que la réponse de l’industrie est typique.
« Ils disent que c’est une fraude trop complexe pour que le méchant moyen puisse la mener, mais ils disent toujours cela, et ils ont dit cela à propos de nos recherches sur la compromission du dispositif d’entrée de code PIN en 2008, malgré le fait que cela se produisait déjà sur le terrain. La deuxième chose qu’ils disent, c’est qu’ils n’ont aucune preuve de cas réels. Et c’est exactement ce qu’ils ont dit en 2010, lorsque nous avons publié notre recherche de fraude sans NIP. Mais nous avons appris plus tard que l’association britannique des cartes savait à l’époque qu’il y avait des fraudes sans code PIN en cours en France à hauteur d’environ un million d’euros. Ensuite, quand nous sommes revenus et avons dit : « Aha, nous les avons pour avoir fait de fausses déclarations », il s’est avéré qu’ils avaient écrit leur déclaration très soigneusement pour dire qu’ils n’avaient aucune preuve que cela se produisait en Grande-Bretagne, pas aucune preuve de cela se passe à point nommé. Cela suit donc un schéma établi par les responsables des relations publiques des banques consistant à le nier soigneusement d’une manière qui ne résiste pas.
Une copie du document de recherche est disponible ici (PDF).