Des recherches menées au Royaume-Uni ont montré qu’il était possible de contourner le mécanisme de limitation des paiements sans contact sur les cartes Visa.
La limite actuelle au Royaume-Uni est de 30 £ par opération sans contact. Les tests réalisés par les chercheurs en sécurité ont pu confirmer des paiements sans contact de montants allant jusqu’à 101 £ par transaction.
La réalisation de plusieurs paiements de 30 £ est un signe d’alerte pour les systèmes de détection de fraudes des banques qui entraîne le blocage de la carte. Cette nouvelle vulnérabilité, qui permet de réaliser des transactions plus conséquentes, pourrait être utilisée pour passer sous le radar des systèmes de détection de fraudes.
Voler la carte n’est pas nécessaire à la bonne réalisation de l’attaque. En effet, un terminal de paiement mobile ainsi qu’un appareil pour intercepter les communications entre la carte et le terminal, afin de recevoir le paiement d’une carte, permettent de mener à bien l’attaque si la carte de la victime est assez proche du terminal. L’appareil d’interception envoie un message à la carte pour lui préciser qu’aucune vérification n’est nécessaire. Un autre message est envoyé au terminal pour l’informer que la vérification a déjà été réalisée par un autre moyen.
Cette attaque peut aussi être menée en utilisant des portes-feuilles électroniques comme GPay, où une carte Visa a été ajouté au porte-feuille.
Visa ne prévoit pas de corriger la vulnérabilité et se justifie en expliquant que la probabilité d’occurence d’une telle attaque reste très faible. Ce type d’attaques a pourtant été démontré comme réalisable depuis plusieurs années.
Selon le directeur technique de la société th4ts3cur1ty.company spécialisée en sécurité, cette attaque d’homme du milieu est difficile à corriger d’un point de vue technique.
Des protections physiques pour les cartes existent et permettent de mitiger ce type d’attaques. Les prochaines régulations européennes concernant les paiements sans contact (PIN requis lorsque le total des paiements excède 130 £ ou quand 5 transactions sans contact ont été réalisées dans la journée) vont aussi limiter les conséquences de ces attaques.
Références
https://www.forbes.com/sites/thomasbrewster/2019/07/29/exclusive-hackers-can-break-your-credit-cards-30-contactless-limit/#3e99b40b41e1
https://www.computerweekly.com/news/252467495/Visa-card-vulnerabilities-enable-contactless-limit-bypass
Image par Bob McKay