nos newsletters
Abonnez-vous à Micro Hebdo : 1,23€ / n°
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à 01Business et Technologies : 3,20€ / n°
Abonnez-vous à la version digitale
Les cartes bancaires sous la menace d'une fraude
Un universitaire britannique a réussi à contourner le code secret des cartes à puce dans le but d’effectuer un paiement frauduleux. Faut-il avoir peur de cette découverte ?
Ross Anderson est bien connu du groupement des cartes bancaires et de son équivalent britannique, la Financial Service Authority. Ce professeur de l'université de Cambridge, dont le dada consiste à identifier les failles des systèmes de paiement, affirme avoir réussi à contourner la sécurité présente dans les cartes bancaires à puce. Le code à quatre chiffres, qui permet de sécuriser les paiements, ne serait plus aussi secret que cela.
Cet universitaire a en effet réussi à créer un leurre. En brouillant la communication entre la puce implantée dans la carte bancaire et le terminal de paiement, il a fait croire à ce dernier que le code d'identification EMV (Europay-Mastercard-Visa) avait été saisi. Pourtant, il n'a à aucun moment tapé le code secret lié à la carte.
Selon Le Figaro, le chercheur a communiqué sa découverte aux autorités financières anglaises et à la Banque centrale européenne, en affirmant qu'il allait prochainement la dévoiler sur Internet. Cette expérience a été réalisée à partir d'une carte bancaire en circulation. Dès lors, les consommateurs doivent-ils craindre une utilisation frauduleuse de leur moyen de paiement ?
Peut-on aujourd'hui pirater ma carte bancaire avec cette méthode ?
En théorie, oui, à en croire Ross Anderson. En pratique, cela paraît aujourd'hui extrêmement difficile. Pour son expérience, le chercheur a développé le dispositif d'un système d'information qui est venu s'interposer entre la puce de la carte et le terminal de lecture.
Ce procédé nécessite du matériel encombrant et non miniaturisé. « Le scénario reste pour le moment académique », commente Jean-Marc Bornet, du Groupement des cartes bancaires. Mais rien ne dit que ce sera encore le cas dans quelques mois ou quelques années...
Ce piratage signifie-t-il que les cartes à puce ne sont plus sûres ?
Non. Dans son expérience, Ross Anderson n'a pas réussi à extraire le code d'identification de la puce. Il brouille le dialogue entre la carte et le terminal, puis fait croire à ce dernier que le code a été saisi.
Le concept de cette fraude est connu par les spécialistes en sécurité bancaire, comme une technique man in the middle (l'homme au milieu). Un élément s'insère entre la puce et le terminal. Mais pour la première fois, quelqu'un a réussi à le mettre en œuvre.
Et si quelqu'un met au point un tel dispositif, quels sont les risques ?
Il faudrait d'abord que le pirate soit en possession de votre carte bancaire. Si c'est le cas, il pourrait effectivement réaliser des achats, même sans connaître votre code secret. Cela ne serait toutefois valable que dans le cas de transactions de faibles montants, pour lesquelles il n'y a pas de demande d'autorisation de paiement en temps réel auprès du réseau bancaire.
La technique de Ross Anderson ne permet en effet pas de leurrer le dispositif dans ces cas-là. Autre conséquence : le retrait d'argent auprès d'un distributeur serait aussi impossible, là encore parce que le système effectue une demande d'autorisation.
En cas de fraude, comment prouver sa bonne foi ?
La règle générale est que les banques ne remboursent le paiement en cas de fraude que si l'identité du possesseur de la carte n'a pu être établie. Autrement dit : si vous n'avez pas saisi le code d'identification à quatre chiffres.
Mais dans le cas particulier de la découverte de Ross Anderson, le Groupement des cartes bancaires assure que « le client de bonne foi sera entièrement remboursé ». Les banques ont en effet le moyen de vérifier après coup si le code a été saisi ou non. Ces informations leur proviennent le lendemain de l'achat avec tout le détail des opérations. Le client étant disculpé, les montants de la fraude seraient à la charge des banques et non des commerçants.
Cette découverte fait-elle peser un risque sur les achats en ligne ?
Ce procédé ne concerne pas les emplettes effectuées sur le Net. Sur les sites marchands, la saisie du code d'identification EMV n'est pas nécessaire.
En revanche, à partir du moment où un voleur détient votre carte bancaire, il possède toutes les informations pour acheter sur la Toile : le numéro de la carte, sa date d'expiration ainsi que son cryptogramme visuel. Il ne pourra toutefois pas s'en servir sur les sites marchands ayant implémenté un code de sécurisation supplémentaire du type 3D-Secure.
Comment les banques ont-elles réagi à cette annonce ?
« Il n'y a pas de mobilisation particulière des banques ou du groupement carte bancaire en ce moment. Il n'y pas de péril particulier. Nous ne baissons jamais la garde et travaillons à améliorer la sécurisation des systèmes de paiement. Certains de nos ingénieurs travaillent à casser la sécurité que d'autres mettent en place », explique Jean-Marc Bonnet.
Le Groupement va travailler avec les banques pour trouver un moyen de sécuriser les communications entre la carte et le terminal de paiement. Cela passera probablement par une mise à jour des logiciels présents dans la carte comme dans le terminal.
Actu précédente
Actu Suivante
Erreur dans l'article
de
HIPe
, posté le 21 janvier 2010 à 23h05
"La règle générale est que les banques ne remboursent le paiement en cas de fraude que si l'identité du possesseur de la carte n'a pu être établie. Autrement dit : si vous n'avez pas saisi le code d'identification à quatre chiffres."
C'est inexact:
Article L133-19 du Code monétaire et financier: "I. ― En cas d'opération de paiement non autorisée consécutive à la perte ou au vol de l'instrument de paiement, le payeur supporte, avant l'information prévue à l'article L. 133-17, les pertes liées à l'utilisation de cet instrument, dans la limite d'un plafond de 150 euros.", ça c'est si un tiers utilise la carte bancaire AVEC le code (puisque s'il n'a pas le code alors la banque est obligée de rembourser entièrement le client).
Donc si une personne récupère votre carte bancaire et qu'elle trouve le code de cette dernière (par exemple parce que vous l'avez indiqué sur un post-it collé sur la carte...) alors vous ne supporterez qu'un maximum de 150€, tout le reste doit être remboursé par la banque, sauf bien sur si elle arrive à prouver que c'est de votre faute si le voleur a pu se procurer votre carte bancaire et son code, ce qui est impossible à prouver en général (comment prouver que vous aviez collé un post-it avec le code sur la carte?...). Je rappel également que cette franchise de 150€ ne s'applique que pour les paiements effectués avant l'opposition: après que le client a fait opposition auprès de sa banque celle-ci doit bloquer les futurs paiements, si elle ne le fait pas elle devra rembourser en totalité le client.
Le client ne risque donc en pratique pas grand chose avec sa CB, surtout sur Internet (sur Internet les pirates n'ont pas besoin d'utiliser le code, la banque en pratique est donc obligée de rembourser le client), mais les banques se gardent bien de le rappeler parce que c'est une responsabilité énorme qui pèse sur leurs époles, c'est pour ça que VISA et les différentes banques ont une armée d'employés qui vérifient vos transactions pour voir s'il n'y a rien de suspect et pour bloquer la carte si c'est le cas avant que la situation ne se gâte. Mais bon d'un autre côté les banques font payer toutes les transactions par carte bancaire, elles profitent largement de ce système, donc logique qu'elles en supportent les risques.
C'est inexact:
Article L133-19 du Code monétaire et financier: "I. ― En cas d'opération de paiement non autorisée consécutive à la perte ou au vol de l'instrument de paiement, le payeur supporte, avant l'information prévue à l'article L. 133-17, les pertes liées à l'utilisation de cet instrument, dans la limite d'un plafond de 150 euros.", ça c'est si un tiers utilise la carte bancaire AVEC le code (puisque s'il n'a pas le code alors la banque est obligée de rembourser entièrement le client).
Donc si une personne récupère votre carte bancaire et qu'elle trouve le code de cette dernière (par exemple parce que vous l'avez indiqué sur un post-it collé sur la carte...) alors vous ne supporterez qu'un maximum de 150€, tout le reste doit être remboursé par la banque, sauf bien sur si elle arrive à prouver que c'est de votre faute si le voleur a pu se procurer votre carte bancaire et son code, ce qui est impossible à prouver en général (comment prouver que vous aviez collé un post-it avec le code sur la carte?...). Je rappel également que cette franchise de 150€ ne s'applique que pour les paiements effectués avant l'opposition: après que le client a fait opposition auprès de sa banque celle-ci doit bloquer les futurs paiements, si elle ne le fait pas elle devra rembourser en totalité le client.
Le client ne risque donc en pratique pas grand chose avec sa CB, surtout sur Internet (sur Internet les pirates n'ont pas besoin d'utiliser le code, la banque en pratique est donc obligée de rembourser le client), mais les banques se gardent bien de le rappeler parce que c'est une responsabilité énorme qui pèse sur leurs époles, c'est pour ça que VISA et les différentes banques ont une armée d'employés qui vérifient vos transactions pour voir s'il n'y a rien de suspect et pour bloquer la carte si c'est le cas avant que la situation ne se gâte. Mais bon d'un autre côté les banques font payer toutes les transactions par carte bancaire, elles profitent largement de ce système, donc logique qu'elles en supportent les risques.
alerter le modérateur
Bidon
de
mikeArthur
, posté le 22 janvier 2010 à 04h41
Tout ça, c'est du blabla de personnes en mal de publicité.
La réalité est hélas plus terre à terre.
La très majeure partie des arnaques à la carte de crédit se fait à partir de trucs simples évitables si l'on prend quelques précautions quand soit-même on utilise sa carte.
L'autre partie est le fait d'individus qui par la violence extorquent le code.
Les pires exemples connus : la fille de l'acteur Giraud, ou le couple de hollandais qui l'ont payé de leur vie
La réalité est hélas plus terre à terre.
La très majeure partie des arnaques à la carte de crédit se fait à partir de trucs simples évitables si l'on prend quelques précautions quand soit-même on utilise sa carte.
L'autre partie est le fait d'individus qui par la violence extorquent le code.
Les pires exemples connus : la fille de l'acteur Giraud, ou le couple de hollandais qui l'ont payé de leur vie
alerter le modérateur
To code or not to code ?
de
Pseudo utilisé ?
, posté le 22 janvier 2010 à 07h01
Ben de toute façon ce code peut ne pas servir : péage autoroute, certains parkings.
Alors ???
Alors ???
alerter le modérateur
Quel escoquerie! un ticket de péage!!!!!!!!!
de
Hermes1974
, posté le 01 aout 2010 à 14h58
ca m'étonnerai qu'on utilise ta carte pour gagner 3francs 6sous! d'autant plus que ces lieux sont en général sous vidéosurveillance. Prends pas les gens pour des * stp, merci!
alerter le modérateur
back to the future
de
berty22
, posté le 22 janvier 2010 à 07h34
Ce Monsieur vient de découvrir la YES-Card ?
Il y a quelques année une personne avait démontré que le système des CB n'était pas sécurisé. Elle n'a pas utilisé frauduleusement le système, elle n'a pas dévoilé ce système elle à loyalement avertit qu'il y avait une faille. Pour tout remerciement cette personne à été mise en prison.
Cela dit je confirme ce que dit HIPe. Il faut cependant savoir que le GIE CB est beaucoup plus fort que nous et que cela va être dur de le faire plier.
Il y a quelques année une personne avait démontré que le système des CB n'était pas sécurisé. Elle n'a pas utilisé frauduleusement le système, elle n'a pas dévoilé ce système elle à loyalement avertit qu'il y avait une faille. Pour tout remerciement cette personne à été mise en prison.
Cela dit je confirme ce que dit HIPe. Il faut cependant savoir que le GIE CB est beaucoup plus fort que nous et que cela va être dur de le faire plier.
alerter le modérateur
mon ancienne banque m'avait volé 500 francs
de
maf-banc
, posté le 22 janvier 2010 à 08h12
et oui, il ne faut pas déranger ces monsignores, surtout les banques, avec la mafia qui trame derrière mieux vaut fermer sa gueule,
moi une fois mon ancienne banque m'avait volé 500 francs, j'avais essayé de retirer de l'argent (2000) a un distributeur qui n'avait pas fonctionné jusqu'au bout alors j'étais allé essayé de retirer sur le distributeur de ma banque qui se trouver un peut plus loin et la j'avais réussi a retirer les 1500 francs (je sais plus pourquoi j'avais essayé de retirer moins ?) et bien quand j'ai reçu mon relevé d'informations bancaires il mon débité 2000 francs,
et bien quand je suis aller me plaindre de ce retrait ils ont rien voulu savoir, la première somme (1500 du premier retrait que je n'ai pas eu) personne n'en a jamais entendu parlé, les 2000 francs eux par contre tout le monde était au courant, si ça c'est pas de l'arnaque alors qu'est ce que c'est ?
moi une fois mon ancienne banque m'avait volé 500 francs, j'avais essayé de retirer de l'argent (2000) a un distributeur qui n'avait pas fonctionné jusqu'au bout alors j'étais allé essayé de retirer sur le distributeur de ma banque qui se trouver un peut plus loin et la j'avais réussi a retirer les 1500 francs (je sais plus pourquoi j'avais essayé de retirer moins ?) et bien quand j'ai reçu mon relevé d'informations bancaires il mon débité 2000 francs,
et bien quand je suis aller me plaindre de ce retrait ils ont rien voulu savoir, la première somme (1500 du premier retrait que je n'ai pas eu) personne n'en a jamais entendu parlé, les 2000 francs eux par contre tout le monde était au courant, si ça c'est pas de l'arnaque alors qu'est ce que c'est ?
alerter le modérateur
à lire aussi
SUR LES MÊMES THÈMES 
