Aux Etats-Unis, nombreux sont ceux qui poussent à l'adoption des cartes de paiement à puce, suite aux vols massifs de données bancaires qui ont affecté les gros distributeurs et les chaînes de restaurants américains ces 12 derniers mois. Mais pour certains experts, la fraude n'en disparaîtra pas pour autant, rapportent nos confrères d'IDG News Service qui assistaient la semaine dernière à la conférence Black Hat, à Las Vegas. La norme EMV (Europay, MasterCard et Visa) aussi appelée « Chip-and-PIN », est largement répandue dans le monde entier, et depuis plus de 10 ans, elle est de fait utilisée comme système de paiement pour les cartes bancaires en Europe. Les informations stockées de façon sécurisée sur un circuit intégré de la carte, plus le code PIN du client, permettent aux guichets automatiques et aux terminaux de paiement d'authentifier chaque carte bancaire.

A partir d'octobre 2015, afin de pousser à l'adoption de la norme EMV, certains opérateurs de cartes de crédit américains ont prévu de transférer la responsabilité des transactions frauduleuses aux parties qui n'ont pas déployé le dit système. « Cependant, la spécification EMV pose encore des problèmes règlementaires et de sécurité, et certaines vulnérabilités affectant ces cartes ont déjà été exploitées dans le monde réel », a déclaré Ross Anderson, un professeur d'ingénierie de la sécurité à l'Université de Cambridge qui a 25 ans d'expérience dans la sécurité des systèmes de paiement. Dans une interview accordée jeudi dernier pendant la conférence Black Hat, Ross Anderson est revenu sur les stratégies d'attaques possibles contre la norme EMV existante. « Les banques ont essayé de minimiser ces attaques, affirmant qu'elles étaient impossibles ou trop complexes à mettre en oeuvre pour les cybercriminels », a-t-il expliqué. Celui-ci a rappelé deux modes d'attaques possibles contre le système : l'un dit  « preplay » et l'autre « no PIN ». Dans l'attaque « preplay », la carte insérée dans le terminal de paiement voyou peut être débitée pour une transaction réalisée avec une carte frauduleuse utilisée dans un autre terminal quelque part dans le monde. Dans l'attaque « no PIN », le criminel utilise une carte volée reliée à un terminal portable dans lequel il y a une autre carte trafiquée. Ce couplage lui permet d'outrepasser l'étape de vérification du code PIN au niveau du POS (point de vente) et de valider des transactions frauduleuses.

Des nombres aléatoires générés de manière prévisible

Plus récemment, l'équipe de Ross Anderson a découvert que de nombreux distributeurs de billets et terminaux de paiement compatibles avec la norme EMV généraient des nombres aléatoires de manière prévisible. Cela permet à une personne qui dispose d'un accès temporaire à une carte de crédit, dans un restaurant ou un magasin, de calculer des codes d'authentification qu'elle peut ensuite réutiliser pour de futures opérations. Pire encore, un voleur ou un terminal de point de vente compromis peuvent générer et inscrire des codes d'authentification dans une carte, et ces codes peuvent ensuite être utilisés pour autoriser d'autres transactions frauduleuses. « Certaines de ces attaques ne sont pas directement liées à la norme EMV elle-même, mais plutôt à une mauvaise mise en oeuvre de l'EMV par les fournisseurs de terminaux de paiement », a expliqué le professeur de l'Université de Cambridge. Les banques ne sont pas assez actives pour imposer des changements, parce que, si le commerçant n'utilise pas la norme EMV, c'est sur lui que repose la responsabilité de la fraude et s'il utilise l'EMV et que le code PIN est correct, c'est le consommateur qui l'assume », a-t-il encore déclaré.

Cette tendance à responsabiliser le propriétaire de la carte part du principe que, étant donné que les cartes EMV - ou plutôt leurs puces - ne peuvent pas être clonées, si une transaction frauduleuse est faite avec la carte et si le code PIN est correct, c'est que le propriétaire a été négligent. « Mais, dans le cas des banques américaines, rien ne permet de dire si elles réussiront à reporter la responsabilité de ces transactions frauduleuses sur le propriétaire de la carte, parce qu'aux Etats-Unis, les consommateurs bénéficient d'une meilleure protection qu'en Europe », a déclaré Ross Anderson. Selon lui, « la question de l'adoption de la norme EMV aux Etats-Unis est à suivre avec intérêt : certaines banques poussent vers le système Chip-and-PIN, alors que d'autres ont une nette préférence pour le système Chip-and-Signature ».

Une spécification très complexe

La spécification EMV telle qu'elle existe aujourd'hui est très complexe et les fournisseurs y ont fait des ajouts, ce qui explique qu'il soit facile de faire des erreurs lors de sa mise en oeuvre, explique M. Anderson. Selon la façon dont vous vous y prenez, vous pouvez concevoir un système sécurisé ou un mauvais système, a-t-il exposé. C'est aussi ce que pense Lucas Zaichkowsky, architecte chez AccesData qui a précédemment enquêté sur les fuites liées aux cartes de crédit et évalué la compatibilité avec les standards de sécurité des cartes de paiement.

Sur la Black Hat, il a fait une présentation sur ce sujet montrant comment, lors d'une transaction EMV, un malware pouvait dérober les mêmes données que sont sur la bande magnétique si la puce n'est pas mise en oeuvre correctement. « Et certaines banques ne le font pas comme il le faudrait », selon lui. Ces données peuvent alors être utilisées pour créer de fausses bandes et perpétrer des fraudes dans la plupart des pays, y compris dans ceux qui utilisent déjà EMV parce que les lecteurs EMV sont également configurés pour accepter les bandes magnétiques en cas de besoin.