Les cartes Mastercard et Maestro sont victimes d’une faille de sécurité. Elle permet de contourner leurs codes PIN lors d’un achat sans contact. Cette triste découverte est signée par la Haute école suisse d’ingénierie de Zurich.
Cette défaillance est jugée critique. Correctement exploitée elle permet à un pirate d’effectuer des paiements sans contact sans avoir à entrer le moindre code PIN. L’opération demande d’installer un logiciel dédié sur deux smartphones Android. Le premier est utilisé pour simuler un terminal de point de vente, tandis que le second agit comme un émulateur de carte. Tout ce processus incitera alors la carte à instaurer une transaction et à partager ses données.
Elles permettent ensuite de transmettre les informations de transaction modifiées à un véritable appareil de point de vente. L’étude ne précise pas le nom des logiciels utilisés pour des raisons de sécurité.
Paiement sans contact Mastercard et Maestro, la sécurité n’est plus garantie.
Les experts en sécurité indiquent qu’il s’agit d’une prouesse isolée mais elle peut facilement s’exploiter dans la vie réelle. Ce n’est pas la première fois que cette équipe découvre des problèmes de sécurité liés aux cartes de paiement. Par le passé elle a mis en évidence le contournement des codes PIN des cartes Visa.
L’étude d’aujourd’hui s’est concentrée sur des cartes qui n’utilisent pas le protocole de paiement sans contact de Visa. Elle a par contre utilisé la même stratégie et des vulnérabilités connues ce qui n’est pas rassurant. L’équipe a réussi à intercepter les informations de paiement puis de les exploiter avec un véritable terminal de point de vente.
Du coup qu’il s’agisse de Visa, Mastercard ou Maestro, de graves problèmes de sécurité sont connues et exploitables.
MDR !!
La vidéo date du 19 février 2021 et parmi les commentaires de l’époque (toujours février) :
“This hack is OLD …”
Donc je pense que cette info est pas très récente HAHA
Bravo pour le réchauffé btw.
N’empêche que le forcing des banques pour imposer le paiement sans
contact tout en relevant systématiquement son plafond est pour le
moins douteux.
Le paiement sans contact concerne des transactions dont le montant
ne requiert aucun appel d’autorisation de la part des terminaux.
La particularité du sans contact est de négliger la sécurité par
l’absence de la saisie d’un code secret.
A l’opposé le paiement par carte bancaire en ligne requiert un
nombre abusif de codes de sécurité tout en négligeant la sécurité
en transmettant à un tiers le code secret de l’accès en ligne à
son compte bancaire.
Bref, l’incompétence des banques ne semble pas avoir de limite…