Vos transactions par carte de crédit peuvent avoir été sérieusement exposées à cause d’un homme avec une application Android

Vous pouvez effectuer une transaction par carte de crédit ou par carte de débit de deux manières dans un magasin physique ou un magasin. Il existe la méthode de paiement sans contact, qui est désormais applicable pour les transactions jusqu’à Rs 5000 en Inde. La seconde est que vous saisissez un code PIN pour votre carte de crédit sur le terminal de paiement, pour terminer la transaction. Maintenant, il s’avère que tout ce dont les pirates informatiques peuvent avoir besoin, c’est d’une application Android qui peut se connecter à la machine à cartes et lui donner la fausse indication qu’aucun code PIN n’est requis. Les chercheurs de l’ETH Zurich, ou de l’Eidgenössische Technische Hochschule Zürich, ont indiqué que les cartes de crédit Mastercard ou Maestro peuvent être sujettes à contourner les méthodes. Auparavant, cette méthode fonctionnait également sur les cartes de crédit et de débit Visa.

Pour illustrer cet exploit, les chercheurs ont utilisé une application Android et deux téléphones dotés de la technologie NFC, ou Near Field Communication. L’application signale à tort au terminal de carte qui est en train de recevoir le paiement, qu’aucun code PIN n’est requis pour terminer la transaction et que l’identité du propriétaire de la carte a été vérifiée. «Notre méthode incite le terminal à penser qu’une carte Mastercard est une carte VISA», explique Jorge Toro, qui travaille au Groupe de la sécurité de l’information et est l’un des auteurs du document de recherche. Toro ajoute que la réalité était beaucoup plus complexe qu’il n’y paraît, avec deux sessions devant s’exécuter simultanément pour que cela fonctionne: le terminal de carte effectue une transaction VISA, tandis que la carte elle-même effectue une transaction Mastercard. Les chercheurs ont utilisé ces méthodes sur deux cartes de crédit Mastercard et deux cartes de débit Maestro émises par quatre banques différentes.

Les chercheurs affirment avoir informé Mastercard de ces vulnérabilités et depuis lors, Mastercard a mis en place des mesures dont les chercheurs confirment leur efficacité. Les chercheurs affirment que les failles de sécurité trouvées dans les cartes de paiement sans contact sont principalement dues à EMV, une norme de protocole internationale qui s’applique à ces cartes. Les erreurs de logique au sein de cet ensemble de règles sont également difficiles à détecter.