03/04/2012

Sécurité des cartes bancaires sans contact ?


Démonstration aujourd'hui aux GS Days de la vulnérabilité évidente des cartes bancaires avec le paiement sans contact.

Renaud Lifchitz (BT, mais ici sous le sigle de l'ARCSI) a fait une démonstration claire qu'une carte Visa ou Mastercard "sans contact" peut être interrogée par n'importe quel dispositif portable ad hoc (ici un téléphone Android) et surtout que la carte renvoie des informations :


  • Le PAN complet et en clair (le numéro de la carte)
  • La copie de la piste magnétique (TRACK2, ISO2) présente sur la puce
  • Le nom du porteur
  • La date de validité
  • L'historique des achats (date, montant).


Typiquement, le scénario d'attaque se place dans un lieu public où le pirate scanne les cartes à proximité (entre quelques centimètres à quelques dizaines centimètres de portée).

Concrêtement, il est possible de faire deux choses depuis ces informations volées :


  • Faire un achat sur un site Internet qui ne demande ni le CVV2, ni le 3-D Secure (Verified by Visa, SecureCode)
  • Faire une fausse carte de paiement (whitecard) à piste. [note suite commentaire de nono: dans la grande majorité des cas et surtout sur les cartes françaises, la piste TRACK2 contenue dans la puce est légèrement différente de la piste magnétique, car le code CVV est remplacé par un autre, le iCVV. Dès lors, le Serveur d'Autorisation Emetteur détectera la carte contrefaite).

Cela permet donc de faire des achats à l'étranger (ou frauder au péage d'autoroute, mais qui le ferait sachant que la plaque d'immatriculation est filmée ?).

Ce qui est surtout fou ici (mais prévisible et connu des experts de la monétique), c'est que les constructeurs de cartes et les marques de cartes négligent à ce point la sécurité : ils ont simplement reproduit le protocole de communication classique entre la puce de la carte et le TPE (terminal du commerçant); mais "dans les airs" et en clair. En effet, la communication entre la puce et le TPE a toujours été en clair (mais uniquement au sein des contacteurs du terminal, pas dans les airs ! ); et surtout, personne ne glisse sa CB dans n'importe quel appareil dans la rue ou le métro !.

Je ne comprends pas pourquoi ils n'utilisent pas les capacités cryptographiques de la puce EMV et pourquoi la copie de la piste magnétique (présente sur la puce) est requêtable via le canal RFID. 

La sécurité de ce système a-t-elle été uniquement pensée sur l'hypothèse que le protocole de communication entre le lecteur et la carte n'est pas publié et que personne n'arrivera à trouver les bonnes méthodes d'appel ?

D'après l'ARCSI, la réponse des "banques" est : "la sécurité est basée sur la distance nécessaire pour faire cette attaque". Il faut que le pirate soit à 3 cm de la carte.

Les détails techniques et une démonstration approfondie seront présentés à la conférence Hackito à Paris la semaine prochaine.

4 commentaires:

  1. Bonjour,

    Vous écrivez qu'il est possible de "lire la piste magnétique" en sans contact (je simplifie mais c'est bien l'idée) et d'utiliser ces données pour faire une fausse carte à piste.
    Pourtant, je croyais que les données piste qui se trouvent dans la puce (track 2 equivalent data/discretionary data) n'étaient pas l'image exacte des données piste, non ? Le CVV (piste) est remplacé par un iCVV.
    Par conséquent, l'utilisation d'une telle "fausse carte à piste" serait totalement impossible et ne permettrait aucune fraude, non ?
    De plus, même si on pouvait récupérer l'intégralité des "vraies" données piste, que pourrait-on faire ? Ne faut-il pas le code PIN (en France du moins) ?
    Et à l'étranger, une telle carte ne serait-elle pas refusée en paiement par signature ?

    Merci de vos éclaircicements.

    (pour le reste, je suis d'accord !)

    RépondreSupprimer
    Réponses
    1. J'ai en effet fait une erreur, si la carte à puce utilise en iCVV, alors il ne sera pas possible de faire une fausse carte.

      Depuis 2008, je ne sais pas si toutes les marques de carte ont adopté le iCVV dans tous les pays ; mais il est clair qu'une fausse carte ne sera pas faisable en france à partir des données volées en NFC.

      Supprimer
    2. Si on pouvait récupérer les vraies données (car la TRACK2), on peut :
      1 - revendre sur les forums de carding
      2 - faire une fausse carte qui marcherait partout où le code PIN n'est pas demandé (autoroute, étranger...)

      Supprimer
  2. Utiliser une puce RFID comme moyen d'identification et de paiement me fait penser au futur système économique mondial annoncé dans la bible apocalypse chapitre 13 verset 16 il y a plus de 2000 ans :

    "Et elle fit que tous, petits et grands, riches et pauvres, libres et esclaves, reçoivent une marque sur leur main droite et leur front et que personne ne puisse acheter et vendre sans avoir la marque le nombre de la bête ou le nombre de son nom, c'est ici la sagesse! Que celui qui a de l'intelligence compte le nombre de la bête ; car c'est un nombre d'homme et ce nombre est six-six-six ."

    Regardez comment fonctionne un code barre, le 6 6 6 est partout sur tous les produits de consommation, même sur votre carte d’électeur ! Ce sont les 2 petits traits au début et milieu et à la fin qui en langage code-barre donne le 6 , je n'invente rien, encore simple à vérifier sous Google ...

    après le futur krach économique à cause de la dette on va passer au mode d’argent électronique (plus de billets et de liquide) puis à la nano puce implantée sur la main droite ou le front au nom de la sécurité et de la santé…..
    on n’arrête pas le progrès, science sans conscience n’est que ruine de l’âme.

    RépondreSupprimer