Même si les cartes de banque caractérisées par une procédure ‘chip & pin’ sont plus sûres que celles intégrant une piste magnétique, des chercheurs y ont quand même découvert des faiblesses.
Même si les cartes de banque caractérisées par une procédure ‘chip & pin’ sont plus sûres que celles intégrant une piste magnétique, des chercheurs y ont quand même découvert des faiblesses.
Des chercheurs de Cambridge ont observé que ce qu’on appelle la puce EMV présente des défauts. Brièvement, une carte à utiliser dans un terminal de paiement crée un code d’authentification. Il s’agit en principe d’un numéro aléatoire. Mais les chercheurs prétendent qu’il peut être contourné de deux façons.
Un premier point faible apparaît lorsque la procédure génère une combinaison aléatoire incorrecte. Cela signifie que le code unique peut être prévu. Un autre problème se manifeste quand l’on peut ‘craquer’ le terminal de paiement ou la ligne de communication de l’appareil. Selon les chercheurs, les deux faiblesses se sont déjà présentées dans des situations réelles.
Si des malfaiteurs peuvent prévoir les codes ou adapter le code envoyé à la banque, il leur est alors possible de retirer de l’argent au moyen d’une carte clonée. Ce qui rend les choses plus douloureuses encore pour les clients, c’est que la transaction paraît parfaitement légitime, selon les chercheurs. La banque ne peut donc pas elle-même détecter la fraude, ce qui peut conduire à une situation où elle ne remboursera pas le dommage subi par le client.
Au niveau mondial, il existe quelque 1,62 milliard de cartes qui utilisent le protocole EMV. Tel est aussi le cas en Belgique. Chez nous, Maestro est passée en 2005 de la piste magnétique (que l’on pouvait encore assez facilement abuser) à un système par lequel la carte était lue en combinaison avec un code pin.
Il ne s’agit en outre pas du premier problème que connaissent les cartes de banque. Une enquête précédente avait déjà démontré que des cartes pouvaient être utilisées même sans le code correct. L’on a aussi constaté des faiblesses au niveau de l’interception de données.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici