Paiements sans contact : une faille de sécurité découverte chez Visa

information fournie par Le Figaro •02/09/2020 à 19:03

Des chercheurs suisses ont réussi à contourner le code PIN et ainsi dépasser le plafond de 50 euros des paiements sans contact. Une fraude difficile à réaliser «dans le monde réel», selon Visa.

« Le code PIN est fondamentalement inutile sur ces cartes », affirme Jorge Toro-Pozo dans un article publié mardi sur le site web de l'École polytechnique fédérale de Zürich (ETH). Avec deux autres confrères, ce chercheur suisse a découvert une faille dans la sécurité des cartes bancaires Visa. Plus précisément, dans le standard EMV, le protocole de sécurité international mis au point dans les années 1990 par les trois géants de ce secteur, Europay, Mastercard et Visa (EMV, donc).

Lors de leurs expériences, les trois chercheurs se sont munis de deux smartphones compatibles NFC (ce qui permet notamment d'effectuer des paiements en plaçant l'appareil à quelques centimètres d'un terminal) dans lesquels ils ont installé une application développée pour l'occasion. Grâce à la technologie NFC, le premier téléphone portable peut lire les informations de la carte bancaire et les transférer vers le second téléphone portable avec lequel il est possible d'effectuer l'achat.

L'application, quant à elle, permet de surpasser le système de sécurité de la carte en modifiant certaines données de la transaction générées par la carte bancaire à destination du terminal de paiement via les deux téléphones. Grâce à cette opération, une personne malintentionnée peut utiliser le paiement sans contact de la carte bancaire pour n'importe quelle somme, sans jamais être obligée d'entrer le code PIN à 4 chiffres de la carte, comme l'explique Numérama.

Les chercheurs ont filmé leur expérience dans une courte vidéo :

Les trois scientifiques suisses ont testé leur découverte dans divers magasins avec leurs propres cartes bancaires. « La fraude fonctionne avec des cartes de débit et de crédit qui ont été émises dans différents pays, dans différentes devises », détaille Jorge Toro-Pozo.

Les chercheurs ont alerté Visa sur cette faille de sécurité et indiqué qu'elle pourrait être réparée facilement. « Il y a trois ajouts au protocole qui pourraient être installés sur les terminaux de paiement lors de la prochaine mise à jour du logiciel », explique Jorge Toro-Pozo. « L'effort pour cela serait minime. Les cartes ne doivent pas être remplacées et tous les ajouts sont compatibles avec la norme EMV. » rassure-t-il.

Visa rassure les utilisateurs

Contacté par Le Figaro , Visa tient à rassurer les utilisateurs des quelque 9 milliards de cartes Visa. « Les cartes de paiement sans contact sont très sécurisées. Intégrant la même technologie sécurisée que les cartes à puce EMV, les cartes sans contact sont extrêmement efficaces pour prévenir la contrefaçon, car elles s'appuient sur un code à usage unique qui évite que des données compromises soient réutilisées dans un contexte de fraude », affirme l'entreprise, qui précise également « que le nombre de fraudes en sans contact n'a pas augmenté en 2020 ».

Visa explique aussi que la sécurité de ses cartes est sa priorité : « Visa traite toutes les menaces liées à la sécurité avec le plus grand sérieux, et nous apprécions les efforts de la part de l'industrie et du milieu universitaire visant à renforcer la sécurité des paiements. Les consommateurs peuvent continuer à utiliser leurs cartes Visa en toute confiance. Les évolutions des méthodes de fraude par étapes sont étudiées depuis près d'une décennie. »

Enfin l'entreprise américaine indique n'avoir relevé aucune fraude de ce type. Selon Visa, la complexité du système mis en place par les chercheurs de Zürich serait difficile à reproduire par de potentiels aspirants fraudeurs : « Les études et tests peuvent être intéressants, mais en réalité ce genre de méthodes s'est avéré irréalisable à mettre en place par des fraudeurs dans le monde réel. »