Suivez-nous

Fintech

Visa a connu une vulnérabilité sur ses cartes bancaires, mais ne s’alarme pas

Une fraude sur laquelle la société financière numéro 1 au monde travaille, mais ne s’alerte pas.

Il y a

  

le

 
Visa
© Visa

Visa, l’émetteur responsable de 9 milliards de cartes bancaires à travers le monde, a connu une faille de sécurité. Début septembre, trois chercheurs de l’Université de l’École polytechnique fédérale de Zürich (ETH) en Suisse ont révélé avoir trouvé un moyen de contourner le protocole d’authentification et payer avec une carte bancaire par paiement sans contact qu’importe le montant demandé.

La faille de sécurité se situerait ainsi dans les standards EMV, un protocole de sécurité international que partage Visa avec Mastercard et Europay. Par une application tierce, développée par les chercheurs, il aurait été possible d’exploiter une vulnérabilité permettant de passer outre la saisie d’un code PIN pour valider un paiement.

Le dispositif est quelque peu complexe au début, mais dans une vidéo publiée sur le site web de l’École, les chercheurs affirment qu’il ne s’agit pas d’un « hack élaboré ». Pour arriver à exploiter la faille de sécurité, ils utilisaient un smartphone en guise d’émulateur de terminal de paiement qu’ils avaient placé sur la carte bancaire. De l’autre côté, un émulateur de carte virtuelle numérisée sur un second smartphone permettait ainsi de lire les informations et valider un achat sans aucune authentification.

Le but d’une manœuvre via paiement mobile, outrepasser la limitation des cinquante euros du paiement sans contact. En France, la méthode du « tap » ne demande aucune authentification, d’où le fait que le montant soit limité pour éviter la fraude. Via paiement mobile (depuis notre smartphone), il n’existe pas de limite dans le sens où il est normalement obligé de s’authentifier (via la technologie de sécurité du smartphone).

Découvrez ici notre guide et nos 6 astuces pour réaliser des paiements en ligne en toute sécurité

Des données de transactions modifiées et partagées

Il est assez édifiant de voir à quel niveau d’aisance les chercheurs arrivent à effectuer des opérations. Mais pour Visa, derrière la démonstration, il y a une application très complexe qui est arrivée à exploiter une faille mineure. « Les études et tests peuvent être intéressants, mais en réalité ce genre de méthodes s’est avéré irréalisable à mettre en place par des fraudeurs dans le monde réel », déclarait un porte-parole de la société financière au Figaro.

Les chercheurs ne sont pas exactement du même avis. Les données de transactions modifiées et partagées qu’ils leurs ont permis d’effectuer ses paiements à partir de n’importe quelle nouvelle carte volée feront l’objet d’une étude plus approfondie qui sera publiée en mai 2021.

Le but ne sera que pédagogique, tant Visa a déjà était averti des vulnérabilités. Les chercheurs avaient apporté leur piste de solution, en expliquant : « Il y a trois ajouts au protocole qui pourraient être installés sur les terminaux de paiement lors de la prochaine mise à jour du logiciel […] L’effort pour cela serait minime. Les cartes ne doivent pas être remplacées et tous les ajouts sont compatibles avec la norme EMV. » rassurait Jorge Toro-Pozo, de l’étude suisse.

Visa prendra les mesures adéquates, pour ne pas répandre le stress sur le reste de l’échelon : l’émetteur de cartes bancaires travaillent avec de multiples banques, banques en ligne (comme Boursorama Banque).

Cliquez pour commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *