Des spécialistes en cryptographie de l’ETH Zurich, en Suisse, viennent de publier un article scientifique décrivant comment ils sont parvenus à contourner les sécurités du protocole de paiement par carte bancaire EMV pour régler sans contact, par smartphone, n’importe quel achat dans un commerce « physique ».
Une application Android créée « sur mesure » pour tromper le terminal de paiement
La validation des règlements par carte bancaire au moyen d’un code secret est un gage de sécurité dont la robustesse a été prouvée au fil des décennies. Mais récemment, avec la généralisation du paiement sans contact, il a été décidé de ne plus la rendre systématique. Comme le montre cette étude suisse, cette démarche a ouvert une boîte de Pandore, permettant à des escrocs (pourvu qu’ils se soient préalablement préparés) à effectuer des règlements avec des cartes bancaires dont ils ne sont pas les porteurs.
Au cours de leur expérience, les chercheurs de l’ETH Zurich ont relié leur carte Visa à un smartphone, puis ont transféré les données de cette carte sur un autre smartphone, où était installée l’application « frauduleuse » qu’ils avaient conçue. Lorsque le terminal de paiement demandait un règlement, ils approchaient du terminal ce dernier smartphone. Le terminal envoyait alors une requête d’authentification du porteur (en d’autres mots, une requête de saisie du code secret). L’application « frauduleuse » répondait alors que le porteur avait déjà été identifié en locale, « hors ligne » (en d’autres mots, sur le smartphone client – il n’y avait donc pas besoin de l’authentifier « en ligne » auprès de la banque émettrice de la carte).
La validation « hors ligne » des transactions, un terreau fertile pour monter des escroqueries
Cette combine a pour effet d’exclure complètement l’authentification « en ligne », à savoir l’authentification du porteur de carte auprès de la banque émettrice (qui, normalement, a lieu lorsque le terminal renvoie à la banque émettrice les paramètres de la carte et le code secret saisi). La transaction est donc validée « hors ligne », par le seul terminal de paiement. Le client peur repartir avec son achat.
Ensuite, à la fin de la journée par exemple, le terminal communique à la banque le registre des transactions ayant été effectuées « hors ligne ». C’est à ce moment-là que la fraude se découvre, car la banque voit que la « clé » censée authentifier le porteur (communiquée en l’occurrence par le smartphone) n’est pas la bonne, elle n’est pas la même que la vraie « clé », dont la banque a connaissance. Mais à ce moment-là le client est bien sûr déjà parti, impossible pour le commerçant de faire quoi que ce soit...