Sécurité des cartes bancaires : l’équipe de Steven J. Murdoch récidive

C’était début 2010 : Steven J Murdoch détaillait une méthode de

détournement des cartes bancaires volées, permettant leur utilisation sans qu’il soit nécessaire d’en connaître le code d’identification du porteur, le fameux code PIN. L’attaque consistait en un classique

man-in-the-middle : un dispositif électronique intercepte et modifie les communications entre la carte à puce et le terminal de paiement électronique. Lorsque celui-ci demande à la carte de vérifier le code PIN saisi par l’utilisateur, le dispositif du pirate intercepte la requête et se charge, à la place de la carte, de répondre au TPE que le code a été vérifié et confirmé. Toutes les cartes dites EMV en circulation étaient potentiellement concernées. L’équipe de Murdoch revient cette année à la charge avec une autre étude sur une faille potentielle des cartes EMV. Dans

un document de recherche, l’équipe - où l’on retrouve notamment Ross Anderson, déjà très impliqué dans les premiers travaux - explique que «les cartes de paiement [EMV] contiennent une puce qui leur permet d’exécuter un protocole d’authentification ». Un protocole qui s’appuie sur la génération d’un nombre aléatoire qui «assure que chaque transaction est

fraiche ». Las, indiquent les chercheurs, «nous avons découvert que certaines implémentations EMV utilisent simplement des compteurs, des marqueurs temporels ou des algorithmes maison pour fournir ce numéro ». Un numéro qui n’aurait alors plus d’aléatoire que le nom. Une situation qui «expose [ces cartes] à une attaque de type

pre-play impossible à distinguer d’un clonage à partir des logs accessibles par la banque émettrice de la carte et qu’il est possible de conduire même si le clonage physique de la carte est impossible (au sens d’extraire les données de la carte et de les charger dans une autre) ». Et, justement, comme le rappelle les auteurs, «EMV était supposé empêcher» le clonage des cartes. Loin d’exposer de simples travaux théoriques, les chercheurs décrivent la façon dont ils ont découvert la faille - en version allégée

dans un billet de blog - et assurent exposer des preuves tirées d’expériences sur le terrain, avec des distributeurs de billets et des terminaux de paiement électronique : «nous avons trouvé des failles dans des distributeurs très répandus, des principaux constructeurs», revendiquent-ils. Pour eux, il est désormais possible «expliquer au moins quelques uns des cas toujours plus nombreux de fraudes dans le cadre desquels les victimes se voient refuser la prise en charge par les banques au motif que les cartes EMV ne peuvent pas être clonées ». Déjà en février 2010, lors de la présentation de l’attaque de type

man-in-the-middle, Murdoch estimait probable «que d’autres aient découvert la faille avant nous ». Il dénonçait alors précisément que «souvent les banques refusent tout remboursement aux victimes assurant que la carte ne peut pas être utilisée sans code PIN ». Cette première découverte devait permettre, selon lui, à «expliquer nombre de ces cas» de fraude.