Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les étonnantes fuites de la carte bancaire sans contact

avril 2012 par Jérôme Saiz, SecurityVibes

Alors que les cartes bancaires sans contact s’apprêtent à débarquer en masse dans nos porte-feuilles, un membre de l’Association des Réservistes du Chiffre et de la Sécurité de l’Information (ARCSI) s’est intéressé à la technologie sans contact qu’elles embarquent. Bilan : ces cartes sont très bavardes et particulièrement simples à faire parler ! Les échanges sans contact ne sont en effet ni chiffrés ni authentifiés.

http://www.securityvibes.fr/produits-technologies/visa-mastercard-carte-sans-contact/

A l’occasion des GS Days 2012, Renaud Lifchitz a ainsi démontré comment il est parvenu à « faire parler » sa propre carte Visa sans contact à l’aide d’un lecteur NFC USB vendu par correspondance pour une quarantaine d’euros, et d’un peu de développement propriétaire (c’est le plus compliqué !)

La démonstration parle d’elle-même : en glissant sa carte près du lecteur USB le chercheur affiche à l’écran de son ordinateur ses nom et prénom, le numéro complet de sa carte bancaire et sa date d’expiration. Et en guise de bonus, la carte stocke aussi les dernières transactions réalisées (montant, date, devise). Le tout en moins d’une seconde et sans aucune forme d’authentification.

Mais il y a pire : selon Renaud Lifchitz il est également possible d’accéder à l’intégralité du contenu de la bande magnétique à travers l’interface sans contact (mais il ne l’a pas démontré en public). Ce qui permettrait alors de cloner la carte, avec tous les usages frauduleux que l’on sait. Certes, il déjà possible de lire le contenu de la piste magnétique d’une carte bancaire armé d’un simple lecteur (par skimming via un faux distributeur de billets ou à distance par écoute radio au moment de l’utilisation de la carte : c’est déjà un business !). Mais le fait de pouvoir y accéder par simple frôlement d’un téléphone mobile contre la poche de la victime rend le risque de fraude largement plus élevé.

Une protection inexistante

Si la principale défense des émetteurs de carte consiste à dire que la sécurité est assurée par la proximité exigée entre le lecteur et la carte, l’argument ne séduit pas le chercheur. Tout d’abord parce que Renaud Lifchitz démontre ensuite comment il a pu transformer son smartphone Android en lecteur de cartes Visa sans contact. Plus besoin de transporter un ordinateur portable, il suffit de frôler la poche d’une victime avec son propre téléphone mobile pour extraire les données personnelles et bancaires. L’image d’une rame de métro en heure de pointe vient alors immédiatement à l’esprit…

Ensuite, Renaud Lifchitz estime que cette proximité imposée est toute relative. « Avec un amplificateur à environ 2000 € et une antenne à environ 1000 € il est possible de lire les informations d’une carte jusqu’à 1,5m« , poursuit-il. Certes, l’équipement est alors plus visible, mais il tient encore parfaitement dans un sac à dos…

Enfin, lors d’une opération de paiement légitime chez un commerçant, le dialogue entre la carte et le terminal sans contact peut être intercepté jusqu’à 15 mètres de distance (mais les informations ne contiendront pas alors le nom et le prénom du porteur de la carte).

L’autre défense avancée par les émetteurs de la carte tient au plafond imposé aux transactions (20 €) et à une limite du nombre de paiements sans contact réalisables à la suite. Une fois cette limite atteinte le porteur doit s’authentifier de manière traditionnelle avant de pouvoir réaliser d’autres paiements sans contact. Ceci permet aux banques, comme nous l’expliquait Mastercard il y a déjà plusieurs années, de « provisionner » le montant maximal d’une fraude et donc de pouvoir se couvrir par une assurance.

« Oui mais l’argument ne tient plus si l’on clone la bande magnétique : dans ce cas la carte peut être utilisée en dehors des plafonds imposés aux transactions sans contact« , explique Renaud Lifchitz.

Risques et solutions

Outre l’évidente moisson de pistes magnétiques dans des lieux publics, la technique présente un autre danger, physique celui-ci. L’accès à distance aux informations de la carte pourrait également permettre de créer un engin explosif programmé pour scanner les cartes bancaires des individus qui passent à sa portée et se déclencher au passage de sa cible.

Du côté des solutions, il n’y a pas grand chose à faire de la part de l’utilisateur, sinon de refuser le renouvellement de sa carte par un modèle sans contact. Dans le cas contraire, tout au plus sera-t-il possible d’investir dans un porte-cartes métallique faisant office de cage de Faraday.

Du côté des émetteurs de cartes, en revanche, des solutions sont envisageables… à condition de vouloir régler le problème ! Car autant l’on peut comprendre l’absence d’authentification du porteur pour des raisons pratiques, autant le manque d’authentification mutuelle entre la carte et le terminal de paiement, ainsi que le manque de chiffrement des transactions, étonnent.

Les cartes bancaires à puce savent très bien réaliser une poignée de main cryptographique. Pourquoi ne seraient-elles pas en mesure de le faire pour échanger avec le lecteur sans contact une clé de session ? (les algorithmes cryptographiques d’échange de clé ont fait leurs preuves depuis longtemps !)

D’autant que depuis 2008 et le passage des cartes bancaires françaises en mode Dynamic Data Authentication (DDA), les cartes disposent toutes d’un cryptoprocesseur dédié tout à fait capable d’assurer la génération et l’échange d’une clé de session. Cela permettrait d’éviter l’écoute sauvage.

Même question pour l’absence d’authentification mutuelle entre la carte et le lecteur au moment de l’interrogation des données (elle a probablement lieu lors de la validation de la transaction). Pourquoi ne pas la forcer immédiatement, au moment de l’établissement du dialogue ?

Toutes ces décisions s’expliquent certainement par la recherche d’un acte de paiement simple et rapide, avec comme garantie la certitude, pour les banques, de savoir calculer le montant maximal de la fraude éventuelle. Mais, comme l’a démontré Renaud Lifchitz, les autres risques (extraction du nom du porteur à des fins d’identification d’une cible dans une foule, clonage de la piste magnétique) n’ont peut-être pas été estimés à leur juste valeur…


Les détails techniques et une démonstration approfondie seront présentés à la conférence Hackito à Paris la semaine prochaine.

http://wearesecure.blogspot.fr/2012/04/securite-des-cartes-bancaires-sans.html


www.arcsi.fr


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants