Cartes sans contact : une nouvelle remise en question
Une faille affectant les cartes sans contact Visa a récemment été mise au jour. Cette vulnérabilité a permis à une équipe de recherches de démontrer qu’il était possible d’outrepasser la limite de 20 livres imposée sur les transactions sans PIN pour transférer jusqu’à 999 999,99 livres…
Selon les chercheurs de l’université de Newcastle, un défaut de programmation serait responsable de cet état de fait. Selon eux, les vérifications effectuées sur la carte et non sur le terminal de paiement, ne permettraient pas le renvoi d’alertes en cas de suspicion de fraude.
Un montant paramétré à l’avance depuis une application dédiée pourrait être transféré à partir d’un mobile, par exemple, à l’insu du porteur. Cette vulnérabilité portant sur les montants en devises étrangères, l’attaquant approcherait son terminal équipé d’une carte dans un hall international (type aéroport) pour initier la transaction qui serait automatiquement approuvée.
Selon Visa Europe, cette attaque ne serait pas possible hors contexte expérimental.
Notre Analyse : Sécurité : un facteur clé d’adoption à ne pas négliger
Les campagnes de promotion du sans contact battent leur plein et, confortées par le lancement d’Apple Pay, les analyses sur le potentiel de développement du NFC abondent. Cette nouvelle étude rappelle que des risques demeurent et qu’une attention particulière doit être portée sur la sécurité de ces transactions si elles doivent s’intégrer dans le quotidien des usagers.
Cette faiblesse s’ajoute à la lecture à distance des données contenues sur les cartes sans contact (banque émettrice, numéro de carte, date d'expiration, dernières transactions, etc.) : un risque déjà démontré.
Reste, côté porteurs, la possibilité de se procurer une cage de Faraday pour proscrire les communications avec sa carte de paiement et, côté banques et réseaux, la nécessité de poursuivre leurs efforts pour protéger ces nouveaux supports (chiffrement, mesures d’authentification, etc.).
A ce titre, Visa a d’ailleurs appliqué Visa Token Service aux données cartes pour les transactions réalisées à partir d’Apple Pay.