Une faille de sécurité touchant des cartes Visa permettant des pirates avec des smartphones tournant sous Android d’effectuer des paiements sans contact
Une étude récente menée par des chercheurs de l’École polytechnique de Zurich a démontré une faille et non des moindres.
Ces derniers ont réussi à déceler une vulnérabilité affectant les cartes de Visa de paiement sans contact. Grâce à une application développée par leurs soins, tournant sous le système d’exploitation de Google, Android. Sans Œuvrer à aucun piratage informatique ou à aucune intrusion de système, les chercheurs ont réussi à bénéficier de certains privilèges des développeurs liées généralement à la plateforme de paiement sans contact.
Cet article va aussi vous intéresser : 6 conseils pour préserver votre compte bancaire du piratage et des arnaques
Le fonctionnement de ce piratage informatique reposant sur le principe de l’interception et de la modification des informations échangées entre la carte de paiement sans contact et le terminal chargé de recevoir les informations pour effectuer le paiement.
Il faut préciser que les chercheurs pour réussir leur tour de force n’ont utilisé aucun code secret. La faille de sécurité qui a permis ce piratage a été révélée lors d’une publication par u sur le site internet de l’école polytechnique de Suisse le 1er septembre 2020.
Ladite découverte est assez importante pour les banques mais aussi pour les consommateurs. En effet, le protocole utilisé pour ce genre de système de paiement (Mastercard, VISA, Europay) existe depuis les années 90. Il se trouve aujourd’hui utilisée dans près de 9 milliards de carte de paiement à travers le monde. Selon les chercheurs de l’École polytechnique de Zurich, les cartes MasterCard sont exposées à la faille de sécurité.
Après la révélation de la Découverte, une réaction a immédiatement été manifester par le consortium Visa. On constate seulement qu’il essaie de minimiser la portée de la faille de sécurité. « Les évolutions des méthodes de fraude par étapes sont étudiées depuis près d’une décennie. Au cours de cette période, aucune fraude de ce type n’a été signalée. Les études et tests peuvent être intéressants, mais en réalité ce genre de méthodes s’est avéré irréalisable à mettre en place par des fraudeurs dans le monde réel. ».
Pourtant les spécialistes autant de l’étude ont signifié qu’ils ont bel et bien essayé leurs méthodes dans une situation réelle. Que la méthode étant assez simple à mettre en place, pour leurrer le système, il n’existe pas un ensemble de mise en place assez complexe. Les smartphones Android utilisés sont de marque Google pixel et de Huawei. Pour étudier le système, il suffit tout simplement d’avoir la carte en sa possession. Pour cela le cybercriminel peut simplement la voler.
Les chercheurs expliquent que la faille de sécurité puise sa source dans le fait que les données qui sont échangées entre l’appareil de paiement et la carte ne sont pas authentifiées. « Nous avons identifié plusieurs failles d’authentification. Une des failles découvertes conduit à une attaque qui permet de contourner le code PIN pour des transactions qui sont normalement protégées par une vérification du propriétaire de la carte. ». Expliquent les chercheurs. Il recommande alors d’utiliser des effets métalliques qui permettra d’empêcher l’utilisation de cette donnée critique à distance.
Accédez maintenant à un nombre illimité de mot de passe :