Comment contourner les codes PIN des cartes de crédit

Un code PIN est en général nécessaire pour effectuer des paiements avec une carte de crédit. Une équipe de l'ETH Zurich a découvert que la protection peut être contournée pour certaines cartes.
Payer un montant important par carte de crédit exige d'introduire son code PIN. Mais cette protection peut être contournée pour certaines cartes. (Photo : Shutterstock)

Les cartes de crédit, avec lesquelles il est possible de payer sans contact, sont très populaires. Elles peuvent être utilisées pour régler rapidement et facilement de petits montants. Elles sont considérées comme sûres car les sommes plus importantes ne peuvent être débitées qu'après avoir saisi un code PIN de sécurité.

La base de la plupart de ces transactions est la norme EMV, qui est utilisée pour plus de neuf milliards de cartes dans le monde. Elle a été développée dans les années 1990 par les trois grandes sociétés Europay, Mastercard et Visa. Cet ensemble de règles complexes a été révisé à plusieurs reprises, mais il présente diverses faiblesses qui peuvent être exploitées.

Recherche ciblée des points faibles

Après que d'autres spécialistes de la sécurité ont découvert des erreurs dans la norme, les scientifiques de l'ETH Zurich ont mis à jour une autre lacune grave en matière de sécurité. Ils présenteront leurs travaux, actuellement disponibles sous forme de preprint, lors du IEEE Symposium on Security and Privacy 2021.

David Basin, professeur de sécurité de l'information, Ralf Sasse, associé de recherche au département d'informatique, et Jorge Toro-Pozo, post-doctorant dans le groupe de David Basin, ont d'abord examiné les éléments centraux de la norme EMV en utilisant un modèle développé en interne. Ils ont remarqué qu'il existe une lacune critique dans le protocole utilisé par la société de cartes de crédit Visa.

La vulnérabilité mentionnée ci-dessus permet aux fraudeurs de débiter des cartes qui ont été perdues ou volées pour des montants qui auraient dû être confirmés par un code PIN. «Le code PIN devient inutile sur ces cartes», dit Jorge Toro. Étant donné que d'autres sociétés telles que Mastercard, American Express et JCB utilisent un protocole différent de celui de Visa, ces cartes ne sont pas concernées par cette vulnérabilité. Cette lacune peut également toucher les cartes Discover et UnionPay, qui utilisent un protocole similaire à celui de Visa.

Une app pour tromper

Les scientifiques ont pu démontrer que cette vulnérabilité peut être exploitée dans la pratique, même si cela demande un certain effort. Ils ont développé une application Android et l'ont installée sur deux téléphones mobiles compatibles NFC. Les deux appareils peuvent lire les données de la puce de la carte de crédit et échanger des informations avec les terminaux de paiement. Les chercheurs n'ont pas eu à surmonter d'obstacles de sécurité particuliers dans le système d'exploitation Android pour installer cette application.

Pour débiter de l'argent d'une carte de crédit d'un tiers sans autorisation, il faut lire des données de la carte de crédit avec le premier téléphone portable et les transmettre au second. Celui-ci permet de débiter au même moment le montant souhaité à la caisse, comme le font aujourd'hui de nombreux propriétaires de cartes de crédit. L'app prétend que la carte de crédit est détenue légalement, de sorte que le vendeur ne remarque pas que l'acheteur n'est pas autorisé à effectuer la transaction. Le facteur décisif est que l'application déjoue le système de sécurité de la carte: bien que le montant soit supérieur à la limite qui peut être payée sans code PIN, aucun code n'est demandé.

Test pratique réussi

En utilisant leurs propres cartes de crédit, les chercheurs ont pu montrer dans différents magasins que le système de fraude fonctionne réellement. «La fraude fonctionne avec des cartes de débit et de crédit émises dans différents pays et dans différentes devises», note Jorge Toro. Les chercheurs ont déjà informé Visa de cette faiblesse et ont suggéré une solution concrète au problème. «Il faut faire trois ajouts au protocole qui pourraient être installés sur les terminaux de paiement lors de la prochaine mise à jour du logiciel», explique Jorge Toro. «L'effort à fournir serait minime. Les cartes n'ont pas besoin d'être remplacées et tous les ajouts sont compatibles avec la norme EMV.

Cette vidéo montre comment la protection par code PIN peut être gérée en pratique.