Chaque semaine, les auteurs du blog sécurité vous proposent de découvrir leurs Slurps.
Bonbons acidulés et sucrés en gélatine, les Slurps sont leur carburant principal, symbole de leurs coups de cœur, coups de gueule, coups de kick.
slurps présentation
"Sortez votre carte bancaire de votre portefeuille, retournez-la, si les mots Paypass, payWave, Blink ou le logo ci-dessous aparaissent, vous êtes potentiellement à la merci de pickpockets".
C'est en substance ce qu'a déclaré Kristin Paget (anciennement Christopher Paget), chercheur en Sécurité dans sa présentation "Credit Card Fraud - The Contactless Generation" lors de la convention Shmoocon 2012.
slurps plus
Les technologies sans fil, c'est sympa : plus aucun équipement à brancher, plus acun fil qui traine, réseaux accessibles partout .... Pour les paiements électroniques, il fallait encore se rappeler de son code bancaire et le taper en toute discrétion dans la boutique où étaient éffectués les achats.
Mais avec la technologie RFID accouplée aux cartes bancaires, même plus besoin de se servir de son cerveau, les bras et les mains suffisent ! On sort la carte, on la fait passer en mode sustentation électromagnétique au dessus du lecteur et hop, magasin suivant !
slurps moins
La démonstration réalisée par Kristin Paget, comme le rapporte cet article de Forbes, démontre qu'avec un faible budget il est possible de lire à distance les données (numéro de la carte, date d'expiration, code CCV) de son voisin dans les transports en commun :
- par quel procédé peut-on subtiliser les données de la carte bancaire magique ?
en utilisant un simple lecteur RFID à 50 dollars (environ 35 euros) ! - comment procéder à un paiement électronique avec les données subtilisées ?
en utilisant un appareil de magnétisation de cartes à 300 dollars (environ 225 euros) !
(Crédits: http://www.forbes.com)
Reste un détail à régler : le code CCV (Card Verification Value), plus connu sous la forme de Cryptogramme visuel sur la plupart des cartes, est utilisé ici avec un usage unique (1 code CCV par chaque achat). Si la suite de codes utilisables comporte un trou (code lu sur la carte mais non utilisé pour un achat), alors la carte se met en sécurité lors de la prochaine lecture (prochain achat).
Résultat : le voleur de données doit impérativement agir vite une fois les données subtilisées. Mais comme le précise Kristin Paget, même si il ne peut faire qu'un achat avec chaque code, il est en mesure de "piller" des dizaines de cartes rapidement. De faibles butins mais en grande quantité !
slurps bonus
Comme il ne faut pas oublier que le business prime avant tout, notre chercheur en sécurité est en train de mettre au point un étui de protection nommé "Guard bunny". Ce dernier renvoit les ondes RFID et donc quelque soit la puissance du lecteur, il restera imperméable aux ondes (en ajoutant que les autres systèmes d'étui ne sont pas suffisants) :
(Crédits: http://www.forbes.com)
En bonus, voici quelques liens sur les services "sans fil" offerts pour les cartes bancaires, ansi que la présentation de Kristin Paget au Shmoocon 2012 :
- payPass (MasterCard)
- payWave (Visa)
- Blink (Chase)
- Credit Card Fraud - The Contactless Generation (Kristin Paget)
Mise à jour 06/04/2012
Tout sur une démonstration faite au GS Days 2012 des fuites de la carte bancaire : "Les étonnantes fuites de la carte bancaire sans contact"
Vincent
Chez Orange Business, je suis en charge du domaine Sécurité au sein de la Direction du Développement des Produits et des Services. Mes expériences passées au cœur d'entités opérationnelles m'amènent à porter un regard particulier sur les difficultés de mise en œuvre des politiques et stratégies de sécurité pour les entreprises. Sécurité, efficacité et pragmatisme sont mes principaux axes de réflexion.