ACBM - Le Virus Informatique qui vous défend !Retour à l'accueilLes brèvesLe magasinContacts Ecrire dans le virusListe de diffusionPetites annoncesLes concours



2014-01-13 00:00

Gare aux pickpockets électroniques !


Des montants de 20 à 60 euros débités frauduleusement de votre carte bancaire par simple frôlement dans une foule, est-ce possible ? Les banques prétendent que non, mais nos récentes expériences au salon CARTES 2013 feraient plutôt craindre le contraire...

De sérieux doutes...
Dès le début de nos investigations autour des cartes bancaires sans contact, nous avons soupçonné un risque d'exécution de paiements à l'insu du porteur. Pour payer, il suffit en effet d'approcher la carte à quelques centimètres du terminal pendant tout au plus une demi-seconde, sans composition du code confidentiel ni autre geste de validation.
Bien évidemment, les banques démentent toute possibilité que leurs clients se fassent détrousser à leur insu, mais elles cherchent néanmoins à vendre des assurances couvrant ce genre de risque. Tout en limitant le montant unitaire des paiements sans contact à 20 euros, et leur cumul à 60 euros avant vérification plus approfondie. Simple précaution en cas de vol ou de perte, paraît-il...


Très réelles, nos craintes sont basées sur le constat que l'on pourrait fort bien approcher discrètement un terminal de paiement d'une carte, plutôt que de présenter volontairement une carte à celui-ci. N'importe où et n'importe quand, puisque des terminaux CB totalement autonomes commencent à se généraliser sur les marchés, dans les taxis, chez les vendeurs à domicile, etc. Bénéficiant d'une connectivité GPRS et fonctionnant sur batterie, ils peuvent procéder « au milieu de nulle part » à toutes les opérations nécessitant jusqu'alors le raccordement de leur « base » à une ligne téléphonique. Cela, moyennant un investissement d'environ 500 euros, ou nettement moins sur le marché de l'occasion.
Certains, comme les très courants iWL220 et iWL250 d'Ingenico, acceptant désormais les cartes bancaires sans contact, nous avons voulu déterminer dans quelle mesure ils ne pourraient pas être utilisés pour débiter subrepticement celles-ci à travers les sacs à main et les portefeuilles. En frôlant juste un maximum de victimes potentielles dans les transports en commun, par exemple.
Bien plus facile à mettre en oeuvre, c'est évident, que les complexes attaques de type man in the middle dont la faisabilité a été amplement démontrée dans des contextes universitaires.

Une expérience vécue !
Difficile de faire ce genre de test chez un commerçant, même complaisant, aussi avons nous demandé une démonstration sur le stand d'Ingenico au salon CARTES 2013 ! Une telle manifestation est faite pour cela, non ?
Curieusement, nous avons ressenti une certaine réticence à nous laisser « prendre les commandes », mais comment refuser cela à un journaliste dûment accrédité ?
Au lieu de laisser notre interlocutrice présenter sa propre carte (vraisemblablement « de test » !) immédiatement après avoir saisi le montant à payer, nous avons attendu un bon moment avant d'utiliser la nôtre (une BasicCard déguisée en carte EMV). D'abord une minute, puis deux, mais pas de problème : le terminal attendait toujours patiemment...
En insistant lourdement, nous avons fini par apprendre que le « hors-temps » au bout duquel la transaction est abandonnée est fixé à 4 minutes, « conformément aux recommandations du GIE CB » (sic !). On croit rêver : ce délai est manifestement bien plus long que nécessaire pour sortir sa carte et la présenter, d'autant que le principal atout mis en avant pour le paiement sans contact est précisément sa rapidité !
On aurait voulu introduire sciemment le loup dans la bergerie que l'on ne s'y serait pas pris autrement : à croire que par le biais des assurances et des hausses de cotisations, la fraude rapporterait plus aux banques qu'elle ne leur coûte...
Certes, l'escroc qui tenterait d'appliquer ce scénario s'exposerait à un gros risque pénal, mais n'oublions pas que depuis le passage à l'euro, les cartes bancaires sont presque toutes internationales : le fraudeur pourrait donc fort bien avoir sa « base arrière » à l'étranger, et même changer fréquemment de pays s'il est prudent.
Notre conclusion est par conséquent sans équivoque, et un homme averti en vaut deux : toute carte bancaire sans contact devra être rangée au plus tôt dans un étui blindé, dont elle ne sortira que pour des paiements volontaires. Malheureusement, les banques traînent les pieds pour en offrir à leurs clients, même au moment des cadeaux de fin d'année.
En attendant, certains experts préconisent carrément de sectionner les antennes RFID de nos cartes par une perforation pratiquée là où il faut, mais avouons que ce serait tout de même dommage de devoir en arriver là.

Patrick Gueulle

Tous les ouvrages de l'auteur





Vous aimez cette page ? Partagez-en le lien sur les réseaux sociaux !

Facebook
Twitter
Google+
LinkedIn


Retour aux archives
Retour à l'accueil
[RSS]
Legal & cookies