Skimming : nouveau dispositif adaptable aux TPE
- Lors de la conférence CanSecWest 2011 (Vancouver) des chercheurs italiens (INVERSE PATH) annonçaient avoir mis au jour une importante faille de sécurité susceptible de faciliter la tâche des dispositifs de skimming dans la récupération des données chip and PIN lors de transactions de proximité ou via des DAB/GAB. Des faits qui devraient, selon eux, occasionner un regain d’intérêt des fraudeurs pour ces méthodes.
- L’équipe de chercheurs a en effet élaboré un dispositif visuellement très discret, voire imperceptible, pouvant aisément être adapté aux TPE et DAB et alimenté par ces derniers. Selon leurs découvertes il est ainsi possible d’intercepter l’intégralité des échanges procédés via les TPE.
- Ce cas de figure illustre tout l’intérêt du développement de PCI PED (Pin Entry Device) qui concerne la sécurité des terminaux de paiement. En complément des normes PCI DSS et PCI PA –DSS, les constructeurs, les développeurs et les commerçants doivent utiliser des terminaux conformes.
- La conformité à PCI PED implique que la sécurité de ces terminaux de paiement soit assurée lors de la logistique d’acheminement, lors du chiffrement des échanges entre la puce et le terminal, et contre toute effraction et modification du TPE.