Carte Visa sans contact : cette faille permet de vider votre compte en banque

 

Les cartes bleues Visa sont victimes d’une grave faille de sécurité. En effet, des chercheurs en sécurité informatique suisses ont déniché une vulnérabilité critique dans le processus du paiement sans contact. Grâce à elle, il est possible avec deux smartphones de valider des opérations bancaires importantes sans authentification. 

visa faille
Crédits : Unsplash

Les arnaques autour du paiement sans contact se multiplient ces dernières années. Début juillet, un pirate a réussi à détourner le paiement sans contact et à dérober 2263 € à l’aide d’une montre connectée. Et en ce mardi 1er septembre, des chercheurs en sécurité informatique de l’École polytechnique fédérale de Zurich ont annoncé avoir trouvé une faille critique dans le processeur de paiement sans contact des cartes bleues Visa.

Avant de rentrer dans les détails, il convient de rappeler plusieurs points clés concernant le paiement NFC, plus communément appelé « sans contact ». En effet, les paiements sans contact se distinguent en deux catégories :

  • Les paiements sans contact effectués auprès des commerçants
  • Les paiements sans contact effectués via une appli de paiement comme Apple Pay ou Google Pay

Les premiers sont limités par un plafond et sont les plus courants. D’ordinaire limité à 30 €, le plafond du paiement sans contact est passé à 50 € pendant la crise sanitaire, afin d’éviter au maximum les contacts avec les terminaux de paiement. Ils ne nécessitent aucune authentification.

Les seconds ont un plafond bien plus élevé (plusieurs milliers d’euros) et sont soumis à une authentification du propriétaire de la carte bleue Visa. En règle générale, cette vérification passe par les systèmes de sécurité embarqués de votre smartphone, comme la reconnaissance faciale ou le lecteur d'empreintes digitales.

À lire également : Paiement sans contact – comment protéger sa carte bancaire du piratage et des arnaques ?

Maintenant que vous savez cela, revenons à cette faille. Les chercheurs en sécurité informatique suisses ont réussi à transférer d’importantes sommes d’argent via Google Pay en court-circuitant l’authentification. Pour ce faire, ils ont utilisé deux smartphones. Le premier simule un terminal de paiement, tandis que l’autre smartphone simule une carte bleue volée.

Grâce à la faille présente dans le protocole du paiement sans contact des cartes Visa, les chercheurs ont pu convaincre le terminal de paiement que l’authentification avait bel et bien été effectuée sur le smartphone. Alors que ce n’était pas le cas. Résultat, les chercheurs ont pu enchaîner les achats et les transferts de fonds importants sans procéder à quelconque authentification.

Les chercheurs ont publié une vidéo sur YouTube pour montrer à quel point il est facile d’exploiter cette faille. Ils précisent tout de même qu’une simple mise à jour logicielle des terminaux de paiement physique et numérique suffit à régler le problème. En outre, ils rappellent que cette vulnérabilité ne concerne pas les cartes Mastercard : « Le protocole de paiement sans contact de Mastercard protège toutes les transactions à montant élevé », rassurent-ils.

À lire également : Fraude à la carte bancaire – le skimming débarque sur le web

Source : ETH Zurich



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !
top 200 pires mots passe 2020
Voici le top 200 des pires mots de passe de 2020

Le top 200 des pires mots de passe de l’année 2020 est désormais disponible. Comme tous les ans, l’indémodable 123456 arrive en tête du classement. Parmi les thématiques favorites des internautes, on trouve le divertissement, les grossièretés, les prénoms ou les suites de chiffres….

tesla powerwall faille
Tesla : une importante faille de sécurité menace les batteries Powerwall

Des chercheurs en sécurité informatique ont détecté une faille de sécurité importante dans le Tesla Backup Gateway, le système qui gère les connexions au réseau des Powerwall, les batteries de stockage d’énergie domestiques du constructeur. En 2015, Tesla a lancé…

carte sim arnaque
Elle se fait pirater sa carte SIM et perd 17 000 €

Un pirate a réussi à pirater la carte SIM d’une utilisatrice à de multiples reprises, interceptant à sa place les SMS de double authentification. Malgré de nombreuses tentatives pour stopper le processus, le hacker a réussi à voler 17 000…