En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...
Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business
Applis, logiciels
Produits
Télécoms
Sécurité
Culture, médias
Politique, droits
Technos
Buzz, société
Business

Les cartes bancaires sous la menace d'une fraude

Un universitaire britannique a réussi à contourner le code secret des cartes à puce dans le but d’effectuer un paiement frauduleux. Faut-il avoir peur de cette découverte ?

laisser un avis
Ross Anderson est bien connu du groupement des cartes bancaires et de son équivalent britannique, la Financial Service Authority. Ce professeur de l'université de Cambridge, dont le dada consiste à identifier les failles des systèmes de paiement, affirme avoir réussi à contourner la sécurité présente dans les cartes bancaires à puce. Le code à quatre chiffres, qui permet de sécuriser les paiements, ne serait plus aussi secret que cela.
Cet universitaire a en effet réussi à créer un leurre. En brouillant la communication entre la puce implantée dans la carte bancaire et le terminal de paiement, il a fait croire à ce dernier que le code d'identification EMV (Europay-Mastercard-Visa) avait été saisi. Pourtant, il n'a à aucun moment tapé le code secret lié à la carte.
Selon Le Figaro, le chercheur a communiqué sa découverte aux autorités financières anglaises et à la Banque centrale européenne, en affirmant qu'il allait prochainement la dévoiler sur Internet. Cette expérience a été réalisée à partir d'une carte bancaire en circulation. Dès lors, les consommateurs doivent-ils craindre une utilisation frauduleuse de leur moyen de paiement ?

Peut-on aujourd'hui pirater ma carte bancaire avec cette méthode ?

En théorie, oui, à en croire Ross Anderson. En pratique, cela paraît aujourd'hui extrêmement difficile. Pour son expérience, le chercheur a développé le dispositif d'un système d'information qui est venu s'interposer entre la puce de la carte et le terminal de lecture.
Ce procédé nécessite du matériel encombrant et non miniaturisé. « Le scénario reste pour le moment académique », commente Jean-Marc Bornet, du Groupement des cartes bancaires. Mais rien ne dit que ce sera encore le cas dans quelques mois ou quelques années...

Ce piratage signifie-t-il que les cartes à puce ne sont plus sûres ?

Non. Dans son expérience, Ross Anderson n'a pas réussi à extraire le code d'identification de la puce. Il brouille le dialogue entre la carte et le terminal, puis fait croire à ce dernier que le code a été saisi.
Le concept de cette fraude est connu par les spécialistes en sécurité bancaire, comme une technique man in the middle (l'homme au milieu). Un élément s'insère entre la puce et le terminal. Mais pour la première fois, quelqu'un a réussi à le mettre en œuvre.

Et si quelqu'un met au point un tel dispositif, quels sont les risques ?

Il faudrait d'abord que le pirate soit en possession de votre carte bancaire. Si c'est le cas, il pourrait effectivement réaliser des achats, même sans connaître votre code secret. Cela ne serait toutefois valable que dans le cas de transactions de faibles montants, pour lesquelles il n'y a pas de demande d'autorisation de paiement en temps réel auprès du réseau bancaire.
La technique de Ross Anderson ne permet en effet pas de leurrer le dispositif dans ces cas-là. Autre conséquence : le retrait d'argent auprès d'un distributeur serait aussi impossible, là encore parce que le système effectue une demande d'autorisation.

En cas de fraude, comment prouver sa bonne foi ?

La règle générale est que les banques ne remboursent le paiement en cas de fraude que si l'identité du possesseur de la carte n'a pu être établie. Autrement dit : si vous n'avez pas saisi le code d'identification à quatre chiffres.
Mais dans le cas particulier de la découverte de Ross Anderson, le Groupement des cartes bancaires assure que « le client de bonne foi sera entièrement remboursé ». Les banques ont en effet le moyen de vérifier après coup si le code a été saisi ou non. Ces informations leur proviennent le lendemain de l'achat avec tout le détail des opérations. Le client étant disculpé, les montants de la fraude seraient à la charge des banques et non des commerçants.

Cette découverte fait-elle peser un risque sur les achats en ligne ?

Ce procédé ne concerne pas les emplettes effectuées sur le Net. Sur les sites marchands, la saisie du code d'identification EMV n'est pas nécessaire.
En revanche, à partir du moment où un voleur détient votre carte bancaire, il possède toutes les informations pour acheter sur la Toile : le numéro de la carte, sa date d'expiration ainsi que son cryptogramme visuel. Il ne pourra toutefois pas s'en servir sur les sites marchands ayant implémenté un code de sécurisation supplémentaire du type 3D-Secure.

Comment les banques ont-elles réagi à cette annonce ?

« Il n'y a pas de mobilisation particulière des banques ou du groupement carte bancaire en ce moment. Il n'y pas de péril particulier. Nous ne baissons jamais la garde et travaillons à améliorer la sécurisation des systèmes de paiement. Certains de nos ingénieurs travaillent à casser la sécurité que d'autres mettent en place », explique Jean-Marc Bonnet.
Le Groupement va travailler avec les banques pour trouver un moyen de sécuriser les communications entre la carte et le terminal de paiement. Cela passera probablement par une mise à jour des logiciels présents dans la carte comme dans le terminal.
envoyer
par mail
imprimer
l'article
@01net sur
à lire aussi
SUR LES MÊMES THÈMES
Un nouveau fichier informatique pour lutter contre la contrefaçon
Atos Worldline s’engage dans la lutte contre la fraude des paiements en ligne
Un cheval de Troie bancaire infecte les terminaux Android et BlackBerry
Vol et monétisation frauduleuse: comment ça marche
L’Autorité des Marchés Financiers va muscler sa détection de fraude
Didier Lamouche a pour mission de doubler le chiffre d’affaires d’Oberthur Technologies
Soupçons de cartel dans les puces pour cartes en Europe (MAJ)
Procédures contentieuses contre certains auteurs de spam par SMS
Phishing : 30 000 sites ou adresses URL ont été bloqués en France en 2012
A Montpellier, les fraudeurs du tramway font le guet sur Facebook
L'UFC-Que Choisir réclame des actions contre la fraude bancaire en ligne
Une fraude d’un milliard de dollars sur des actions Apple
5,4 milliards de cartes SIM seront livrées en 2013
Le titre-restaurant incorporé sur une carte à puce
Jusqu'à 2 ans de prison requis pour une vaste escroquerie sur le Net
L'Imprimerie nationale fournit des cartes électroniques aux salariés d'Orange
Microsoft France soupçonné de fraude fiscale
Axa assure contre les dangers du Net [vidéo]
Fraude à la carte bancaire en ligne : l'UFC met en cause les banques