Les cartes de crédit et de débit à puce sont conçues pour empêcher les dispositifs d’écrémage ou les logiciels malveillants de cloner votre carte lorsque vous payez quelque chose en trempant la puce au lieu de glisser la bande. Mais une récente série d’attaques de logiciels malveillants contre des commerçants basés aux États-Unis suggère que les voleurs exploitent les faiblesses de la façon dont certaines institutions financières ont mis en œuvre la technologie pour contourner les principales fonctionnalités de sécurité des cartes à puce et créer efficacement des cartes contrefaites utilisables.
Une carte de crédit à puce. Image : Wikipédia.
Les cartes de paiement traditionnelles codent les données du compte du titulaire de la carte en texte clair sur une bande magnétique, qui peut être lue et enregistrée par des dispositifs d’écrémage ou des logiciels malveillants installés subrepticement dans les terminaux de paiement. Ces données peuvent ensuite être encodées sur n’importe quoi d’autre avec une bande magnétique et utilisées pour effectuer des transactions frauduleuses.
Les nouvelles cartes à puce utilisent une technologie connue sous le nom de EMV qui crypte les données de compte stockées dans la puce. Cette technologie génère une clé de cryptage unique, appelée jeton ou « cryptogramme », chaque fois que la carte à puce interagit avec un terminal de paiement à puce.
Pratiquement toutes les cartes à puce contiennent encore une grande partie des mêmes données qui sont stockées dans la puce encodée sur une bande magnétique au dos de la carte. C’est en grande partie pour des raisons de rétrocompatibilité, car de nombreux commerçants, en particulier ceux des États-Unis, n’ont toujours pas entièrement implémenté les lecteurs de cartes à puce. Cette double fonctionnalité permet également aux titulaires de carte de glisser la bande si, pour une raison quelconque, la puce de la carte ou le terminal compatible EMV d’un commerçant a mal fonctionné.
Mais il existe des différences importantes entre les données de titulaire de carte stockées sur les puces EMV et les bandes magnétiques. L’un d’eux est un composant de la puce connu sous le nom de valeur de vérification de carte à circuit intégré ou « iCVV » en abrégé – également connu sous le nom de « CVV dynamique ».
L’iCVV diffère de la valeur de vérification de la carte (CVV) stockée sur la bande magnétique physique et protège contre la copie des données de la bande magnétique à partir de la puce et l’utilisation de ces données pour créer des cartes à bande magnétique contrefaites. Les valeurs iCVV et CVV ne sont pas liées au code de sécurité à trois chiffres visiblement imprimé au dos d’une carte, qui est principalement utilisé pour les transactions de commerce électronique ou pour la vérification de la carte par téléphone.
L’attrait de l’approche EMV est que même si un écumeur ou un logiciel malveillant parvient à intercepter les informations de transaction lorsqu’une carte à puce est plongée, les données ne sont valables que pour cette transaction et ne devraient pas permettre aux voleurs d’effectuer des paiements frauduleux avec elle à l’avenir.
Cependant, pour que les protections de sécurité d’EMV fonctionnent, les systèmes back-end déployés par les institutions financières émettrices de cartes sont censés vérifier que lorsqu’une carte à puce est plongée dans un lecteur de puce, seul l’iCVV est présenté ; et à l’inverse, que seul le CVV est présenté lors du passage de la carte. Si, d’une manière ou d’une autre, ceux-ci ne correspondent pas pour un type de transaction donné, l’institution financière est censée refuser la transaction.
Le problème est que toutes les institutions financières n’ont pas correctement configuré leurs systèmes de cette façon. Sans surprise, les voleurs connaissent cette faiblesse depuis des années. En 2017, j’ai écrit sur la prévalence croissante des « scintillements », des dispositifs d’écrémage de cartes de haute technologie conçus pour intercepter les données des transactions par carte à puce.
Un gros plan d’un scintillement trouvé sur un guichet automatique canadien. Source : GRC.
Plus récemment, des chercheurs de Cyberlaboratoires de R&D publié un article détaillant comment ils ont testé 11 implémentations de cartes à puce de 10 banques différentes en Europe et aux États-Unis. Les chercheurs ont découvert qu’ils pouvaient récolter les données de quatre d’entre elles et créer des cartes à bande magnétique clonées qui ont été utilisées avec succès pour effectuer des transactions.
Il y a maintenant de fortes indications que la même méthode détaillée par Cyber R&D Labs est utilisée par les logiciels malveillants de point de vente (POS) pour capturer les données de transaction EMV qui peuvent ensuite être revendues et utilisées pour fabriquer des copies à bande magnétique de cartes à puce.
Plus tôt ce mois-ci, le plus grand réseau de cartes de paiement au monde Visa a publié une alerte de sécurité concernant une récente compromission d’un commerçant dans laquelle des familles de logiciels malveillants POS connus ont apparemment été modifiées pour cibler les terminaux POS à puce EMV.
« La mise en œuvre d’une technologie d’acceptation sécurisée, telle que la puce EMV®, a considérablement réduit la facilité d’utilisation des données de compte de paiement par les acteurs de la menace, car les données disponibles ne comprenaient que le numéro de compte personnel (PAN), la valeur de vérification de la carte à circuit intégré (iCVV) et la date d’expiration. », a écrit Visa. «Ainsi, à condition que l’iCVV soit correctement validé, le risque de fraude par contrefaçon était minime. De plus, de nombreux sites marchands utilisaient un cryptage point à point (P2PE) qui cryptait les données PAN et réduisait encore le risque pour les comptes de paiement traités en tant que puce EMV®.
Visa n’a pas nommé le commerçant en question, mais quelque chose de similaire semble s’être produit à Key Food Stores Co-Operative Inc., une chaîne de supermarchés du nord-est des États-Unis. Key Food a initialement divulgué une violation de carte en mars 2020, mais il y a deux semaines mis à jour son avis pour préciser que les données de transaction EMV ont également été interceptées.
« Les appareils de point de vente dans les magasins concernés étaient compatibles EMV », a expliqué Key Food. « Pour les transactions EMV à ces endroits, nous pensons que seuls le numéro de carte et la date d’expiration auraient été trouvés par le logiciel malveillant (mais pas le nom du titulaire de la carte ou le code de vérification interne). »
Bien que la déclaration de Key Food puisse être techniquement exacte, elle passe sous silence la réalité selon laquelle les données EMV volées pourraient toujours être utilisées par des fraudeurs pour créer des versions à bande magnétique des cartes EMV présentées dans les registres des magasins compromis dans les cas où la banque émettrice de la carte n’avait pas correctement implémenté EMV.
Plus tôt dans la journée, une société de renseignement sur la fraude Conseil Gémeaux publié un article de blog avec plus d’informations sur les récentes compromissions des commerçants – y compris Key Food – dans lesquelles les données de transaction EMV ont été volées et se sont retrouvées en vente dans des magasins souterrains qui s’adressent aux voleurs de cartes.
« Les cartes de paiement volées lors de cette violation ont été proposées à la vente sur le dark web », a expliqué Gemini. « Peu de temps après avoir découvert cette brèche, plusieurs institutions financières ont confirmé que les cartes compromises dans cette brèche étaient toutes traitées comme EMV et ne s’appuyaient pas sur la piste magnétique comme solution de secours. »
Gemini dit avoir vérifié qu’une autre violation récente – dans un magasin d’alcools en Géorgie – a également entraîné la mise en vente de données de transaction EMV compromises dans des magasins en ligne sombres qui vendent des données de cartes volées. Comme Gemini et Visa l’ont noté, dans les deux cas, une vérification iCVV appropriée des banques devrait rendre ces données EMV interceptées inutiles pour les escrocs.
Gemini a déterminé qu’en raison du grand nombre de magasins touchés, il est extrêmement peu probable que les voleurs impliqués dans ces violations aient intercepté les données EMV à l’aide de miroitements de carte EMV installés physiquement.
« Compte tenu de l’extrême impraticabilité de cette tactique, ils ont probablement utilisé une technique différente pour violer à distance les systèmes de point de vente afin de collecter suffisamment de données EMV pour effectuer le clonage EMV-Bypass », a écrit la société.
Stas Alforovdirecteur de la recherche et du développement de Gemini, a déclaré que les institutions financières qui n’effectuent pas ces vérifications risquent de perdre la capacité de remarquer quand ces cartes sont utilisées à des fins frauduleuses.
En effet, de nombreuses banques qui ont émis des cartes à puce peuvent supposer que tant que ces cartes sont utilisées pour des transactions par puce, il n’y a pratiquement aucun risque que les cartes soient clonées et vendues dans le métro. Par conséquent, lorsque ces institutions recherchent des modèles de transactions frauduleuses pour déterminer quels commerçants pourraient être compromis par des logiciels malveillants de PDV, elles peuvent complètement ignorer tous les paiements à puce et se concentrer uniquement sur les commerçants chez lesquels un client a glissé sa carte.
« Les réseaux de cartes se rendent compte qu’il y a beaucoup plus de violations basées sur EMV qui se produisent en ce moment », a déclaré Alforov. « Les plus grands émetteurs de cartes comme Chase ou Bank of America vérifient en effet [for a mismatch between the iCVV and CVV], et rejettera les transactions qui ne correspondent pas. Mais ce n’est clairement pas le cas de certaines petites institutions.
Pour le meilleur ou pour le pire, nous ne savons pas quelles institutions financières n’ont pas correctement mis en œuvre la norme EMV. C’est pourquoi il est toujours avantageux de surveiller de près vos relevés mensuels et de signaler immédiatement toute transaction non autorisée. Si votre institution vous permet de recevoir des alertes de transaction par SMS, cela peut être un moyen presque en temps réel de garder un œil sur une telle activité.