Des chercheurs de l’ETH Zurich ont découvert des vulnérabilités dans la mise en œuvre de la norme de carte de paiement EMV qui permet le montage d’attaques ciblant les titulaires de cartes et les commerçants.
David Basin, Ralf Sasse et Jorge Toro-Pozo du Département d’informatique de l’ETH Zurich décrivent dans un article récemment publié que les vulnérabilités trouvées dans la mise en œuvre EMV standard pourraient être exploitées pour rendre la vérification du code PIN inutile sur les transactions sans contact Visa.
Créé au milieu des années 90 et nommé d’après ses fondateurs (Europay, Mastercard et Visa), EMV est le système international de paiement par carte à puce utilisé dans plus de 80% des transactions par carte dans le monde.
Jugée stable, la norme reste vulnérable, principalement en raison de failles logiques, selon des chercheurs de l’ETH Zurich. Les chercheurs ont identifié des vulnérabilités à l’aide d’un modèle symbolique intégré à Tamarin, conduisant à deux attaques ciblant le titulaire de la carte ou le commerçant.
Le premier assaut, disent les chercheurs, permet à un adversaire de faire des achats sans même connaître le code PIN du portefeuille, en utilisant un smartphone pour effectuer le paiement. Les chercheurs ont développé une application Android de validation de concept qui prouve l’efficacité de l’attaque dans des scénarios réels.
Le terminal serait dupé en acceptant une transaction hors ligne non authentique lors de la deuxième attaque, qui serait plus tard refusée, mais seulement «après que le voleur soit parti avec les marchandises».
Le modèle proposé prend en compte les trois éléments présents dans une session EMV, la banque, le terminal et la carte. Le modèle a révélé que la méthode de vérification du titulaire de la carte n’est ni authentifiée, ni sécurisée par cryptographie contre toute altération, permettant ainsi l’utilisation d’une application Android conçue pour contourner la vérification du code PIN.
L’application lance une attaque de type “man-in-the-middle”, informant le terminal que la vérification du code PIN a été effectuée sur l’ordinateur de l’utilisateur (c’est-à-dire le téléphone mobile) et n’est plus nécessaire. Un intrus pourrait donc utiliser des cartes Visa volées pour des transactions sans contact, sans connaître le code PIN de la carte.
«Pour un certain nombre de transactions avec des cartes de marque Visa , telles que les cartes Visa Credit, Visa Electron et VPay, nous avons testé avec succès notre attaque de contournement de code PIN sur des terminaux du monde réel. Le caissier ne peut pas différencier les actions de l’intrus de celles de tout titulaire de carte légitime, car il est désormais normal que les consommateurs paient avec leur smartphone », expliquent les chercheurs.
Les universitaires ont découvert que dans les transactions sans contact hors ligne où une Visa ou une ancienne Mastercard est utilisée parce que la carte n’authentifie pas le cryptogramme d’application (AC) sur le terminal, le terminal pourrait être dupé en acceptant une transaction hors ligne non authentique. Bien plus tard, lorsque l’acquéreur soumettra les données de transaction, il reconnaîtrait le mauvais cryptogramme.
«Notre analyse a révélé des variations inattendues entre la sécurité de Mastercard et les protocoles de paiement sans contact de Visa, suggérant que Mastercard est plus sûre que Visa. Nous n’avons remarqué aucun problème majeur avec la version du protocole Mastercard fonctionnant dans les cartes modernes. […] Visa, par comparaison, souffre d’un certain nombre de problèmes critiques », lit-on dans le document de recherche .
Les chercheurs révèlent qu’ils n’ont utilisé que leurs propres cartes pour mener les expériences et que les résultats ont été communiqués à Visa. Ils ont également suggéré des mises à jour qui pourraient être mises en œuvre par les banques et Visa, et ont déclaré que ces correctifs ne nécessitaient pas de modifications de la norme EMV elle-même.
Pour en savoir plus: