La carte de paiement néerlandaise mise à niveau reste vulnérable aux attaques relais

Une attaque par relais est un moyen par lequel les fraudeurs utilisent la technologie sans fil pour obtenir les détails de la carte bancaire et le code PIN (numéro d'identification personnel) pour les cartes de paiement à puce et PIN utilisées dans toute l'Europe. Les cartes à puce et code PIN exigeaient qu'une personne saisisse un code PIN à quatre chiffres sur les terminaux de point de vente ou les distributeurs de billets, avec le code PIN authentifié par une puce incorporée dans la carte.

[Plus d'informations: Comment supprimer les logiciels malveillants à partir de votre PC Windows]

Dans l'attaque par relais, les détails de la carte de la victime sont enregistrés via un terminal de paiement altéré. Le code PIN est observé par un fraudeur puis communiqué à un complice effectuant une transaction simultanée ailleurs. Le complice a une fausse carte de paiement sans fil qui utilise les coordonnées bancaires de la victime reçues du terminal de paiement altéré pour effectuer une transaction frauduleuse.

L'attaque par relais a été démontrée par Drimer et Murdoch en 2007, mais n'est pas considérée comme

Les banques du Royaume-Uni et des Pays-Bas ont l'intention de mettre à niveau les cartes de paiement avec de nouvelles fonctionnalités de sécurité pour contrer différents types d'attaques. Murdoch et Drimer ont testé une carte délivrée par une banque néerlandaise qui a trois nouvelles fonctionnalités:

L'authentification dynamique des données permet de vérifier la validité d'une carte sans avoir besoin de se connecter à nouveau aux systèmes de la banque. Cela empêche une attaque dite "oui", où tout NIP sera accepté pour une transaction. Une autre fonctionnalité assure le cryptage du code PIN du client lors de la communication entre un terminal de paiement et la carte, empêchant ainsi l'interception d'un code PIN en texte brut.

La dernière nouveauté est appelée iCVV. Les cartes à puce et code PIN contenaient auparavant une copie de l'information de bande magnétique, qui contient les détails du compte dans la puce de la carte. Avec iCVV, les informations complètes sur les pistes magnétiques ne sont plus stockées dans la puce, a déclaré Murdoch.

Aucune des trois caractéristiques n'a stoppé une attaque par relais, comme le montre le spectacle. Cependant, aucun d'entre eux n'a été conçu spécifiquement pour arrêter une attaque de relais, a-t-il dit. Les producteurs de "Goudzoekers" voulaient voir si les nouvelles cartes étaient encore vulnérables à l'attaque du relais, a déclaré Murdoch. M. Murdoch, qui a fait des recherches approfondies sur la sécurité des cartes à puce et PIN, a déclaré que Drimer et lui ne pensaient pas que de nouvelles fonctionnalités empêcheraient une attaque par relais. Cependant, ils ont accepté la commande du spectacle afin d'obtenir «plus d'expérience dans les systèmes d'autres pays», a-t-il dit.

L'Association bancaire néerlandaise a rejeté la dernière expérience, déclarant dans un communiqué que l'attaque relais avait presque trois ans. trop lourd et complexe à mettre en œuvre à grande échelle.

Murdoch admet que les attaques par relais sont difficiles à réaliser. Mais comme d'autres voies d'attaque plus faciles sont fermées en raison des caractéristiques de sécurité renforcées dans les cartes, il est probable que les criminels "commencent à s'en occuper", dit-il.

L'association bancaire affirme que "les criminels sont trop stupides et paresseux ", A déclaré Murdoch. "Les criminels sont paresseux, mais ils ne sont pas stupides."