Les cartes bleues Visa sont victimes d'une grave faille de sécurité. En effet, des chercheurs en sécurité informatique suisses ont déniché une vulnérabilité critique dans le processus du paiement sans contact. Grâce à elle, il est possible avec deux smartphones de valider des opérations bancaires importantes sans authentification. 

Les arnaques autour du paiement sans contact se multiplient ces dernières années. Début juillet, un pirate a réussi à détourner le paiement sans contact et à dérober 2263 € à l'aide d'une montre connectée. Et en ce mardi 1er septembre, des chercheurs en sécurité informatique de l'École polytechnique fédérale de Zurich ont annoncé avoir trouvé une faille critique dans le processeur de paiement sans contact des cartes bleues Visa.

Avant de rentrer dans les détails, il convient de rappeler plusieurs points clés concernant le paiement NFC, plus communément appelé “sans contact”. En effet, les paiements sans contact se distinguent en deux catégories :

• Les paiements sans contact effectués auprès des commerçants
• Les paiements sans contact effectués via une appli de paiement comme Apple Pay ou Google Pay

Les premiers sont limités par un plafond et sont les plus courants. D'ordinaire limité à 30 €, le plafond du paiement sans contact est passé à 50 € pendant la crise sanitaire, afin d'éviter au maximum les contacts avec les terminaux de paiement. Ils ne nécessitent aucune authentification.

Les seconds ont un plafond bien plus élevé (plusieurs milliers d'euros) et sont soumis à une authentification du propriétaire de la carte bleue Visa. En règle générale, cette vérification passe par les systèmes de sécurité embarqués de votre smartphone, comme la reconnaissance faciale ou le lecteur d'empreintes digitales.

À lire également : Paiement sans contact – comment protéger sa carte bancaire du piratage et des arnaques ?

Maintenant que vous savez cela, revenons à cette faille. Les chercheurs en sécurité informatique suisses ont réussi à transférer d'importantes sommes d'argent via Google Pay en court-circuitant l'authentification. Pour ce faire, ils ont utilisé deux smartphones. Le premier simule un terminal de paiement, tandis que l'autre smartphone simule une carte bleue volée.

Grâce à la faille présente dans le protocole du paiement sans contact des cartes Visa, les chercheurs ont pu convaincre le terminal de paiement que l'authentification avait bel et bien été effectuée sur le smartphone. Alors que ce n'était pas le cas. Résultat, les chercheurs ont pu enchaîner les achats et les transferts de fonds importants sans procéder à quelconque authentification.

Les chercheurs ont publié une vidéo sur YouTube pour montrer à quel point il est facile d'exploiter cette faille. Ils précisent tout de même qu'une simple mise à jour logicielle des terminaux de paiement physique et numérique suffit à régler le problème. En outre, ils rappellent que cette vulnérabilité ne concerne pas les cartes Mastercard : “Le protocole de paiement sans contact de Mastercard protège toutes les transactions à montant élevé”, rassurent-ils.

À lire également : Fraude à la carte bancaire – le skimming débarque sur le web

Source : ETH Zurich