Une nouvelle faille a été découverte dans le réseau MasterCard. En faisant passer une carte pour une Visa, il est possible de contourner la saisie du code PIN et réaliser des paiements sans contact de plusieurs milliers d’euros. MasterCard a indiqué avoir déjà mis à jour son réseau pour bloquer cette technique.
au sommaire
Les cartes bancaires modernes sont sécurisées grâce à leur puce qui impose la saisie d'un code PIN pour valider le règlement. Toutefois, pour simplifier le paiement de petits montants, les banques ont mis en place le paiement sans contact, utilisant la norme NFC. Cette fonction est normalement limitée à quelques dizaines d'euros, mais une nouvelle faille découverte dans le réseau MasterCard permet d'atteindre les limites de paiement classiques, soit potentiellement plusieurs milliers d'euros.
Des chercheurs de l'École polytechnique fédérale de Zurich sont parvenus à combiner deux failles afin de réaliser des règlements dépassant le plafond des paiements sans contact avec une MasterCard, et ce sans avoir à saisir de code. Pour ce faire, ils font passer la MasterCard pour une Visa, puis exploitent une faille qui concerne les cartes Visa, dévoilée au mois d'août l'année dernière, et qui permet de contourner le code PIN.
Les chercheurs montrent la validation d’un paiement en quelques secondes. © ETH Zurich
Une attaque qui s’appuie sur une faille des cartes Visa
Concrètement, cette attaque nécessite un accès physiquephysique à la carte et deux smartphones compatibles NFC. Grâce à une applicationapplication spéciale, les deux smartphones communiquent entre eux par Wi-Fi, et transmettent des informations falsifiées au terminal de paiement et à la carte. L'application identifier (AID) de la carte est d'abord remplacée par celle d'une Visa. Les chercheurs modifient ensuite les Card Transaction Qualifiers (CTQ), des informations transmises au terminal de paiement, afin d'indiquer que le code PIN n'est pas nécessaire et que la carte a déjà été vérifiée sur l'appareil de l'utilisateur, comme avec GoogleGoogle Pay ou AppleApple Pay. Le paiement est alors accepté, dans les limites de la carte, soit jusqu'à plusieurs milliers d'euros.
Selon les chercheurs, cette même technique pourrait être utilisée contre les cartes japonaises JCB ainsi que les cartes American Express. MasterCard a été notifié et a mis à jour son réseau afin de bloquer cette faille.