Passer au contenu

Une faille permet de pirater n’importe quelle carte Visa par NFC

Il est possible de contourner le plafond de paiement sans contact d’une carte Visa, simplement en utilisant deux smartphones. Résultat : un pirate peut effectuer une transaction d’un montant élevé sans aucune authentification.

Si vous avez une carte Visa et que vous la perdez, bloquez-la immédiatement. Un pirate qui mettrait la main dessus pourrait, en effet, l’utiliser pour réaliser des paiements NFC pour un montant arbitraire et sans aucune authentification. Bref, il serait en mesure de vider votre compte en deux temps, trois mouvements. Des chercheurs en sécurité de l’École polytechnique fédérale de Zurich (ETH Zurich) viennent en effet de révéler l’existence d’une faille dans le processus de paiement sans contact des cartes bancaires Visa.

Mais avant de rentrer dans les détails, il faut savoir qu’il existe en fait deux plafonds pour les paiements NFC. Le premier est bas, généralement 30 euros, et correspond au paiement NFC sans authentification, ce qui est le cas lorsqu’on utilise la carte physique sur le terminal d’un commerce par exemple. Le second plafond est nettement plus élevé, plusieurs milliers d’euros, et correspond au paiement NFC avec authentification. C’est le cas lorsqu’on paye avec un smartphone par le biais d’une reconnaissance faciale ou d’une lecture d’empreinte, au travers d’Apple Pay ou Google Pay par exemple.

Les chercheurs ont trouvé qu’il était possible de modifier certaines données de transaction du protocole de paiement et, ainsi, de contourner ce premier plafond. En d’autres termes, ils arrivent à réaliser des paiements non authentifiés avec une carte Visa, tout en faisant croire au terminal de paiement que l’authentification a été effectuée sur un smartphone. Cette attaque nécessite deux smartphones, l’un qui va simuler un terminal de paiement auprès de la carte volée, et l’autre qui va simuler une carte de paiement auprès du véritable terminal de paiement. Les chercheurs ont réalisé une vidéo de démonstration pour prouver la faisabilité de ce hack.

https://www.youtube.com/watch?v=JyUsMLxCCt8

La bonne nouvelle, c’est qu’il est possible de colmater cette faille par une mise à jour logicielle des terminaux de paiement, et sans qu’il soit nécessaire de remplacer toutes les cartes Visa. Mais cette mise à jour risque de prendre un peu de temps.

D’autres chercheurs avaient déjà trouvé une faille similaire en décembre 2019, mais elle n’était pas aussi systématique. L’attaque ne fonctionnait que sur certaines cartes Visa. A noter, enfin, que les cartes Mastercard ne sont pas du tout concernées par ce problème. L’analyse des chercheurs montre que « le protocole de paiement sans contact de Mastercard protège toutes les transactions à montant élevé ». Bref, si vous être du genre anxieux, troquez votre carte Visa pour une carte Mastercard.

Source : ETH Zurich

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.