Votre carte bancaire avec puce est-elle sécurisée? Dépend de la banque
Les cartes bancaires à puce sont conçues pour qu'il n'y ait aucun intérêt à les cloner avec des skimmers ou des logiciels malveillants lorsque vous payez avec une carte à puce plutôt qu'une bande magnétique. Cependant, plusieurs attaques récentes contre des magasins américains indiquent que des voleurs exploitent les faiblesses de la mise en œuvre de cette technologie par certaines institutions financières. Cela leur permet de contourner les cartes à puce et, en fait, de créer des contrefaçons utilisables.
Traditionnellement, les cartes en plastique encodent les données du compte du propriétaire en texte brut sur une bande magnétique. Les skimmers ou les logiciels malveillants cachés dans les terminaux de paiement peuvent y lire les données et les noter. Ces données peuvent ensuite être encodées sur n'importe quelle autre carte à bande magnétique et utilisées pour des transactions financières frauduleuses.
Les cartes plus modernes utilisent la technologie EMV (Europay + MasterCard + Visa), qui crypte les données de compte stockées sur la puce. Grâce à cette technologie, chaque fois qu'une carte interagit avec un terminal prenant en charge les puces, une clé unique unique est générée, appelée jeton ou cryptogramme.
Presque toutes les cartes à puce stockent les mêmes données qui sont encodées sur la bande magnétique de la carte. C'est pour la compatibilité ascendante, car de nombreux fournisseurs américains doivent encore passer aux terminaux à puce. Cette double fonctionnalité permet également aux titulaires de carte d'utiliser la bande magnétique si la puce de la carte ou le terminal du commerçant ne fonctionne pas correctement.
Cependant, il existe plusieurs différences entre les données stockées sur une puce EMV et les données sur une bande magnétique. L'un d'entre eux est un composant de puce appelé code de vérification de carte à circuit intégré, ou iCVV, qui est également parfois appelé «CVV dynamique».
iCVV est différent du code de vérification de la carte CVV stocké sur bande magnétique et protège contre la copie de données de la puce et son utilisation pour créer des cartes à bande magnétique contrefaites. ICVV et CVV ne sont pas associés au code numérique à trois chiffres imprimé au dos de la carte, qui est généralement utilisé pour payer dans les magasins en ligne ou confirmer la carte par téléphone.
L'avantage de l'approche EMV est que même si un skimmer ou un virus intercepte des informations sur une transaction par carte, ces données ne seront valables que pour cette transaction, et à l'avenir ne devraient plus permettre aux voleurs d'effectuer des paiements frauduleux.
Cependant, pour que tout ce système de sécurité fonctionne, les systèmes backend déployés par les organisations financières qui émettent des cartes doivent vérifier que lorsqu'une carte est insérée dans le terminal, seul iCVV est émis avec les données, et vice versa, qu'en cas de paiement avec une bande magnétique, uniquement CVV. Si ces informations ne correspondent pas au type de transaction sélectionné, l'institution financière doit rejeter la transaction.
Le problème est que toutes les organisations n'ont pas configuré correctement leurs systèmes. Il n'est pas surprenant que les voleurs connaissent ces points faibles depuis des années. En 2017, j'ai écrit sur une augmentation du pourcentage d'utilisation de " shimmers " - des skimmers de haute technologie qui interceptent les données des transactions effectuées à l'aide d'une puce.
Shimmer trouvé à un guichet automatique canadien
Des chercheurs de Cyber R&D Labs ont récemment publié les résultats d'une étude dans laquelle ils ont testé 11 types d'implémentation de puces sur des cartes de 10 banques différentes en Europe et aux États-Unis. Ils ont découvert qu'ils pouvaient prendre les données de quatre d'entre eux, puis créer des cartes à bande magnétique clonées et les utiliser avec succès pour les paiements.
Il y a tout lieu de croire que la méthode détaillée par Cyber R&D Labs est utilisée par des logiciels malveillants qui s'installent dans les terminaux des magasins. Les programmes interceptent les données de transaction de l'EMV, qui peuvent ensuite être revendues et utilisées pour faire des copies de cartes à puce, mais en utilisant une bande magnétique.
En juillet 2020, le plus grand réseau de paiement au monde Visa a émis un avertissementsur les menaces de sécurité concernant les terminaux d'un vendeur récemment compromis. Dans leurs terminaux, les logiciels malveillants ont été patchés pour fonctionner avec les cartes à puce.
«La mise en œuvre de technologies de paiement sécurisé telles que la puce EMV a considérablement réduit les avantages des données de paiement de compte pour des tiers, car ces données ne comprennent que le numéro de compte PAN personnel, le code de vérification de la carte iCVV et la date d'expiration des données», a écrit Visa. «Par conséquent, avec une confirmation iCVV correcte, le risque de contrefaçon était minime. En outre, de nombreux commerçants ont utilisé des terminaux cryptés P2PE qui cryptent les PAN, ce qui réduit encore le risque d'effectuer des paiements. »
Le nom du vendeur n'a pas été mentionné, mais quelque chose de similaire semble s'être produit chez Key Food Stores Co-Operative Inc., une chaîne de supermarchés du nord-est des États-Unis. Key Food a initialement divulgué les détails du piratage de la carte en mars 2020, mais a mis à jour la déclaration en juillet 2020 pour préciser que les données de transaction EMV avaient également été interceptées.
«Les terminaux dans les magasins étaient compatibles EMV», explique Key Food. "À notre avis, lors des transactions à ces points, les logiciels malveillants ne pouvaient intercepter que le numéro de la carte et la date d'expiration (pas le nom du propriétaire et pas le code de confirmation interne)."
Bien que l'allégation de Key Food soit techniquement correcte, elle embellit la réalité: les données EMV volées peuvent toujours être utilisées pour créer des variantes de cartes à bande magnétique qui peuvent ensuite être utilisées lors des caisses avec des terminaux malveillants installés lorsque la banque émettrice n'a pas vendu. La protection EMV est correcte.
En juillet, la société antifraude Gemini Advisory a publié un article de blog détaillant les récents hacks chez des marchands - y compris Key Food - qui ont volé des données de transaction EMV, qui ont ensuite été mises en vente illégalement. magasins pour cardeurs.
«Les cartes de paiement volées lors de cet incident ont été proposées à la vente sur le dark web», explique Gemini. "Peu de temps après la découverte de l'incident, plusieurs institutions financières ont confirmé que toutes les cartes participantes étaient traitées via EMV, sans recourir à la bande magnétique comme méthode de secours."
Gemini dit avoir confirmé qu'un autre incident de sécurité dans un magasin d'alcools de Géorgie avait également compromis les données de transaction EMV, les faisant apparaître plus tard sur le Web sombre des sites vendant des cartes volées. Comme l'ont noté Gemini et Visa, dans les deux cas, la confirmation correcte des données iCVV par les banques aurait dû rendre les données inutiles aux fraudeurs.
Gemini a déterminé que le grand nombre de magasins touchés suggérait qu'il était très peu probable que des voleurs interceptent les données EMV à l'aide de miroirs EMV installés manuellement.
"Compte tenu de l'impossibilité pratique de cette tactique, on peut conclure qu'ils ont utilisé une technique différente pour s'introduire dans les terminaux de paiement et collecter suffisamment de données EMV pour effectuer le clonage EMV-Bypass", a écrit la société.
Stas Alferov, directeur de la recherche et du développement de Gemini, a déclaré que les institutions financières qui n'effectuent pas de tels contrôles perdent la capacité de suivre les cas d'utilisation abusive de ces cartes.
Le fait est que de nombreuses banques qui ont émis des cartes à puce estiment que tant qu'elles sont utilisées pour des transactions utilisant une puce, il n'y a pratiquement aucun risque de les cloner et de les vendre sur les marchés souterrains. Ainsi, lorsque ces organisations recherchent des modèles de transactions frauduleuses pour déterminer quel équipement des fournisseurs a été compromis par des logiciels malveillants, elles peuvent complètement ignorer les paiements par puce et se concentrer uniquement sur les comptoirs de paiement où les clients ont glissé la carte en bandes.
«Les réseaux de cartes commencent à se rendre compte qu'il y a beaucoup plus de transactions EMV piratées maintenant», a déclaré Alferov. «Les plus grands émetteurs de cartes comme Chase ou Bank of America vérifient déjà les incohérences entre iCVV et CVV et rejettent les transactions suspectes. Cependant, les petites organisations ne le font clairement pas. "
Pour le meilleur ou pour le pire, nous ne savons pas quelles institutions financières ont incorrectement implémenté la norme EMV. Par conséquent, vous devez toujours surveiller attentivement vos dépenses par carte et signaler immédiatement toute transaction non autorisée. Si votre banque vous permet de recevoir des SMS sur les transactions, cela vous aidera à suivre cette activité en temps quasi réel.