En poursuivant votre navigation sur ce site, vous acceptez nos CGU et l'utilisation de cookies afin de réaliser des statistiques d'audiences et vous proposer une navigation optimale, la possibilité de partager des contenus sur des réseaux sociaux ainsi que des services et offres adaptés à vos centres d'intérêts.
Pour en savoir plus et paramétrer les cookies...
Mis à jour le
Les cartes bancaires sous la menace d'une fraude
 

Un universitaire britannique a réussi à contourner le code secret des cartes à puce dans le but d'effectuer un paiement frauduleux. Faut-il avoir peur de cette découverte ?

A voir aussi

Votre opinion

Postez un commentaire

17 opinions
  • Hermes1974
    Hermes1974     

    ca m'étonnerai qu'on utilise ta carte pour gagner 3francs 6sous! d'autant plus que ces lieux sont en général sous vidéosurveillance. Prends pas les gens pour des * stp, merci!

  • YoupppyBis
    YoupppyBis     

    Au fait, dans le cas d'une authentification dynamique (DDA), le PIN est transmis...
    Sinon comment la carte pourrait le vérifier ? Après je ne dis pas qu'il est transmis en clair. Au contraire. C'est chiffré avec ajout d'aléa pour éviter le rejeu. Mais toi tu considères que la fraude consiste à récupérer le PIN je pense. Parce qu'une fois de plus ce n'est pas la fraude qui nous ait présentée.

  • youpppy
    youpppy     

    Je suis désolé de t'annoncer que tu n'as pas lu correctement l'article. Pour effectuer la fraude, à aucun moment il ne récupère le PIN de la carte. Et de toute manière il ne pourrait pas car à aucun moment le PIN est transmis en clair par la carte. Dans le cas de l'authentification en SDA, le PIN est transmis en clair du terminal vers la carte. Mais c'est l'utilisateur qui a entré le code. Alors qu'ici la carte est considérée comme volée.
    Dans le cas de cette fraude, il s'agit de faire croire au terminal que le code PIN a été saisi est vérifié par la carte. Pour le moment on ne connait pas les détails de la fraude mais il semble qu'il ne soit même pas nécessaire d'entrer de code PIN pour que la fraude fonctionne.
    Après comme le dit l'article, c'est très limité puisqu'il faut que la carte ait été volée et non opposée, que le système soit installé chez un commerçant ? Qu'il n'y ait pas de demande d'autorisation (A savoir qu'une fois que la carte a décidé qu'il était nécessaire d'effectuer une demande d'autorisation, elle n'acceptera d'effectuer une transaction jusqu'au bout que si elle est online). Et si le commerçant s'ammuse à faire un très grand nombre de transaction frauduleuse, les banques trouveront le point de compromission, demanderont l'arrestation du commerçant et annuleront les transactions...

    Autrement dit, cette faille a tout l'air d'être du flan ou un coup de pub (appelez le comme vous voulez) comme d'habitude

  • flangad
    flangad     

    Gourmet, vous dites "il a tout de même fallu l'affaire Humpich pour que les porteurs victimes de duplication de leur carte (facile, il suffisait de copier la piste étant donné que la puce, à l'époque, avant EMV donc, ne contenait ... rien d'autre que la liste des opérations) soient reconnus et ce, à l'aube du nouveau siècle."
    Comment pouvez-vous dire de telles âneries? Avez-vous la moindre idée du fonctionnement des anciennes cartes (BO/BO')?
    Il y avait effectivement un problème à cette époque, c'est que bon nombre de distributeurs utilisaient encore la piste magnétique et non la puce, qui pourtant offrait déjà à l'époque un niveau de sécurité très correct (certes égratigné par Humpich, alors que le remplacement de ces cartes était déjà en préparation). Mais bon forcément, si on laisse faire des transactions par un autre moyen que la puce (autre moyen lui non sécurisé....), ca créé une sérieuse faille dans le système. N'empêche que déjà à l'époque, la plupart de vos achats par carte (en magasin) étaient largement sécurisés et se faisaient bien via la puce, et non la piste.

  • monétique
    monétique     

    Par définition un retrait sur distributeur est online (CF MRA).
    "A présent que les dirtibuteurs sont online en permanence (quelle proportion excatement)" : Ils l'ont toujours tous été, en tout cas depuis longtemps.

    Les plafonds de retrait sont également par carte et les standards sont très loin d'être de 75K?. Il ne faut pas confondre Bug lié à dysfonctionnement localisé et contextuel d'un élément de la chaine, à une faiblesse généralisée du système.

    La carte possède un gestion de sécurité liée à la norme EMV, qui force une demande d'autorisation online aléatoirement pour le paiement un sus de celles imposés par le contrôle des plafond de paiement.

    Si vous connaissiez vraiment les chiffres de la fraude et leur nature vous sauriez que les faiblesses (qui existent) ne sont pas là.

  • Gourmet
    Gourmet     

    Comme la vérité du reste.
    Dans les faits, même si, historiquement, les porteurs CB français ont été mis à mal : il a tout de même fallu l'affaire Humpich pour que les porteurs victimes de duplication de leur carte (facile, il suffisait de copier la piste étant donné que la puce, à l'époque, avant EMV donc, ne contenait ... rien d'autre que la liste des opérations) soient reconnus et ce, à l'aube du nouveau siècle.
    Auparavant, c'était de leur faute si leur (copie de) carte était en circulation.

    Toutefois, le souci semble, à mon avis ailleurs : dans la communication et dans la conception.

    Communication
    -------------
    Tout le monde sait que le montant maximum de retrait par semaine est de 450 euros (ex 3000 francs).
    C'est vrai, enfin, partiellement. Il manque un bout de la phrase : depuis un même distributeur.
    A présent que les distributeurs sont online en permanence (quelle proportion exactement ?) cela ne peut plus se produire.
    Un cas retentissant avait eu lieu en 2001 où un lyonnais avait retiré 500 000 francs (75 000 EUR) en un we particulièrement long (celui du 1er mai). Rigolo non ?


    Conception
    ----------
    Certains distributeurs et, surtout, les automates de paiement publics que l'on trouve dans les gares, les cafés, les aéroports, les cinémas, les centres commerciaux, les restaurants disposent de code de maintenance permettant d'assurer une certaine partie de l'exploitation directement depuis le clavier sans avoir à intervenir à l'intérieur de l'automate.
    Et les opérations autorisées ainsi depuis le clavier peuvent aller très loin : recrédit, débit, conservation du contenu de la piste (PAN, date, nom, prénom), intervention à distance sur un autre automate, etc.

    Là est le véritable danger car il est immédiatement exploitable.

    Un conseil donc : surveiller vos relevés de compte plus que jamais.

    db

  • Gourmet
    Gourmet     

    J'ai été un peu (mais si peu) médisant sur la non-communication du GIE CB.
    En effet, il y a eu des vélléités jusqu'en 2006. Voir ici (http://www.cartes-bancaires.com/cbmag/fr/28/asuivre01.html) et ici (http://www.cartes-bancaires.com/cbmag/fr/29/asuivre02.html).
    Voir également Gemalto (http://www.gemalto.com/emv/dda_fr.html).
    Le fait est que l'essentiel des cartes en circulation au Royaume-Uni sont des cartes SDA. Ca simplifie le problème.
    La majorité des cartes en circulation chez nous sont des DDA avec un parc de terminaux compatibles.
    Les banques ne devraient donc pas être inquiètes ici-bas.
    Dans la réalité, le GIE va avoir du mal à communiquer lui qui plutôt habitué à la méthode forte (garde à vue, intimidation, etc).

    db

  • flangad
    flangad     

    Humpish avait fait tout un foin alors qu'il n'avait réussi qu'à légèrement ébrécher la sécurité des cartes.
    Bon, ca n'excuse pas le comportement des banques à l'époque, mais franchement, il n'y avait pas de quoi crier au loup... les possibilités de fraudes même après le "cassage" de Humpish restaient limitées.
    Et surtout, ce n'est pas l'affaire Humpish qui a lancé le projet de renouvellement des cartes BO/BO' par les cartes EMV actuelles. le projet EMV est né bien avant cette affaire (j'ai travaillé dessus en 1998 et le projet était déjà bien avancé... c'est pas récent).

    Ici encore, l'alerte mérite attention, mais il n'y a pas péril en la demeure. les cartes bancaires restent un moyen de paiement ultra sécurisé (infiniment plus que les chèques par exemple)

  • Gourmet
    Gourmet     

    Ce que cet article ne dit pas c'est que l'attaque n'est possible, forcément, que si le PIN circule en clair entre le terminal et la carte (cartes dites statiques ou SDA).
    Or, depuis 2005, dans le cadre EMV, sont déployées les cartes et les terminaux fonctionnant par défi/réponse et, dans ce cas, le terminal ne communique JAMAIS le PIN à la carte.
    Dans le cas de ces carte dit dynamique (sic) ou DDA, l'attaque relevée est impossible.
    Mais qui dit DDA déployé ne dit pas forcément DDA activé !

    Autre impossibilité : connaître l'état réel du déploiement et de l'activation DDA en France.

    Le GIE c'est comme l'industrie du nucléaire : lobbying et secret.

    db

  • LOULAUR1
    LOULAUR1     

    Je rappel à toutes personnes qui oublient rapidement les informations concernant les cartes bleues.Il y a quelques temps, un FRANÇAIS a cracké le le système du code des cartes bleue, cet ingénieur en informatique a voulu prouvé à la Sté des CB que tout à chacun ayant une bonne connaissance en maths qu'il pouvait créer une carte bleue avec un ordi plus un lecteur de carte. Ayant lui-même crée une CB et ayant retiré de l'argent à un distri et l'ayant rendu de suite, une plainte en son encontre et condamné à une forte amande et peine de prison.
    Aux dernières nouvelles, il n'a fait de prison et payé d'amandes mais a été RECRUTE par la sté des CB en a suivi un code de codification des cartes en 128 bits au lieu de 64, je crois, d'où la nlle carte qui en a suivi. Alors l'anglais est en retard sur sa recherche, mais bon il faut bien en parler.

Lire la suite des opinions (17)

Votre réponse
Postez un commentaire