Un point faible dans le protocole de la société de cartes de crédit Visa permet aux fraudeurs de débiter des montants qui devraient être confirmés avec un code PIN. Le paiement sans contact en est la source.
Des chercheurs de l’EPFZ ont découvert un problème dans le système de sécurité dans les cartes de crédit et leur fonction sans contact. «Le code PIN est fondamentalement inutile avec ces cartes», assure l’informaticien Jorge Toro-Pozo. Les différents systèmes de sécurité mis en place comme la reconnaissance faciale ou digitale avec le smartphone semblent poreux.
Les chercheurs sont parvenus à réaliser des transferts de sommes importantes, allant au-delà de la limite de la carte, en passant outre l’authentification grâce à un protocole de paiement modifié: la carte Visa interprétait ses montants comme inférieurs au seuil nécessitant de valider l’achat.
Ils sont parvenus à faire croire au terminal de paiement que l’authentification avait été faite alors que ce n’était pas le cas. L’EPFZ a déjà informé Visa du problème de sécurité. Leur fermeture ne demanderait que peu d’efforts, selon eux: trois ajouts au protocole suffiraient pour la prochaine mise à jour logicielle des terminaux de paiement. Le protocole exact n’a en revanche pas été divulgué pour des raisons évidentes de sécurité.
Étant donné que d’autres sociétés telles que Mastercard, American Express ou JCB utilisent un protocole différent de celui de Visa, ces cartes ne sont pas concernées par la vulnérabilité identifiée. Cet écart peut en revanche exister avec les cartes Discover et UnionPay. Elles n’ont en revanche pas besoin d’être remplacées, a déclaré Jorge Toro-Pozo.
