La carte de crédit sans contact est-elle sans failles ?

Imaginez que l’on vous vole 1 million d’Euros. Oui, 1 million d’Euros ! Et le tout, sans même que vous vous en rendiez compte à cause de votre carte de crédit sans contact…

La carte de crédit sans contact est-elle sans failles ?
La carte de crédit sans contact et ses dangers

Des chercheurs en sécurité informatique de l’université de Newcastle au Royaume-Uni ont déterminé une faille conséquente dans le système de paiement par carte de crédit sans contact. Dans les faits, il faut comprendre que, normalement, le paiement est limité à 20 euros ou 20 livres sterlings. Nous en conviendrons, il s’agit là d’une somme réduite. Mais, selon ces chercheurs, les cartes ne reconnaissent qu'une devise au niveau du blocage. Ainsi, en théorie il suffirait, pour une carte en Euro, de faire un paiement en dollars pour dépasser cette limite.

Résultat, les chercheurs ont réussi à valider une transaction de 999.999,99 Euros en utilisant une carte de crédit NFC britannique, dont la devise est en livre sterling. Cela veut donc dire qu’il serait également possible de reproduire cette « performance » en validant une transaction de 999 999,99 dollars (799 239 euros) ou de 999 999,99 livres sterling (1,27 millions d'euros).

Une carte de crédit sans contact et sans code pin…


Comme son nom l’indique, le paiement sans contact ne nécessite pas de contact, ni même de code pin pour valider la transaction. Et la validation automatique est justement le problème central de cette faille de sécurité…. En effet, les chercheurs ont créé un logiciel permettant de réaliser automatiquement une transaction lorsqu'une carte de crédit NFC est à proximité. Comble du comble, ce logiciel a été installé sur un simple smartphone. Or, comme nous le savons tous, il est facile de trouver une carte de crédit à proximité. Il suffit de penser à une heure de pointe dans les transports en commun, par exemple.

La collecte de transactions, un aspect central…
Selon les chercheurs qui ont mené cette étude, le problème de sécurité de cette carte de crédit sans contact est encore plus complexe qu’il n’y parait car, une fois la transaction validée, celle-ci n'est pas transmise immédiatement à la banque. En effet, le système de paiement NFC autorise des transactions « hors ligne ». Ainsi, pour récupérer l'argent il faut que les données de la transaction soient insérées dans le réseau via un protocole informatique mais, avant cela, il est possible de valider toute une série de transactions différentes.

Par la suite, il suffit d'intégrer ces données au réseau, chose tout à fait possible en passant par n’importe quel système de paiement par carte de crédit, de n’importe quel marchand. Les données du marchand ne faisant pas partie du processus de validation du paiement, la transaction peut être validée partout dans le monde et surtout chez n'importe quel commerçant.

Au final, cela veut dire que nous pouvons imaginer un groupe de voleurs se baladant allégrement avec un smartphone et qui valideraient des centaines de transactions et qui récupèreraient l'argent chez un commerçant complice. Autant dire que cette carte de crédit sans contact a encore du pain sur la planche…

Continuer à lire