Les cartes de crédit à puce et NIP sont très courantes au Royaume-Uni, et elles sont également en hausse aux États-Unis. Elles sont généralement considérées comme plus pratiques et plus sûres que les cartes de signature américaines utilisées depuis longtemps. Cependant, une équipe de chercheurs de l'université de Newcastle a récemment effectué des expériences alarmantes qui inquiètent certains transporteurs de cartes à puce et code PIN. Il est temps d'apprendre les faits et de vous protéger.
Technologie de puce et de PIN sans contact
Pour être plus précis, les cartes qui sont à risque celles qui utilisent une puce RFID (identification par radiofréquence) Comment fonctionne la technologie RFID? Comment fonctionne la technologie RFID? Qu'y a-t-il dans votre portefeuille? Avez-vous une carte de crédit ou de débit sans contact? Saviez-vous que votre carte sans contact utilise la technologie RFID? Mais qu'est-ce que la RFID? Découvrons-le. En savoir plus pour activer les paiements sans contact. Cela signifie qu'en plus d'une petite puce, il y a aussi un petit câble qui court dans toute la carte; lorsqu'il est passé près d'un terminal, ce fil génère une petite quantité d'électricité, transmet des informations à la puce, et renvoie une réponse au terminal autorisant le paiement. C'est rapide et pratique.
En général, c'est totalement bien. Les banques et les émetteurs de cartes n'ont généralement pas besoin d'un code PIN pour les petits achats (généralement ceux jusqu'à £ 20), et tout le monde est heureux. Les NIP sont requis pour les achats plus importants, ce qui réduit les risques de fraude. Il y a aussi une limite sur les transactions hors ligne - celles qui sont autorisées par la carte, mais qui ne sont traitées par la banque que plus tard - de 100 £. Malheureusement, le système ne fonctionne pas comme prévu.
Tromper le Tech
L'équipe de l'université de Newcastle a trouvé un moyen intéressant de contourner les mesures de protection mises en place par Visa et les a détaillées dans leur document intitulé «Récolter des transactions de devises étrangères de grande valeur à partir de cartes de crédit sans contact EMV sans code PIN». transactions, et permettra généralement à un terminal de facturer sur la carte qui contient jusqu'à huit chiffres, ce qui pourrait potentiellement s'élever à 999 999, 99 $ ou 999 999, 99 €. On peut supposer que cela permet de faire des transactions à l'étranger avec des devises qui exigent des montants importants, comme le yen japonais, le won sud-coréen ou la roupie indonésienne.
Malheureusement, la puce de la carte ne sait pas si c'est au Japon, en Corée du Sud, en Indonésie ou dans un supermarché de Londres. Il ne connaît pas non plus la différence entre un terminal sans contact d'un détaillant et un terminal piraté pouvant être transporté dans une poche. Vous pourriez penser qu'il serait difficile de transporter un terminal piraté dans une poche, mais l'équipe de Newcastle a réussi à le faire en écrivant une application pour les téléphones Android compatibles NFC. Tout ce que le voleur a à faire est d'agiter la carte sur votre portefeuille s'il est assis sur la table, ou de vous cogner pour que le téléphone se rapproche suffisamment de la carte dans votre poche - c'est un peu comme un piratage NFC Drive-By Hack NFC travail? Comment fonctionne un piratage NFC Drive-by? Lire la suite .
Non seulement cette méthode contourne la limite de 20 £, mais elle contourne également la limite de transaction hors ligne de 100 £, ce qui signifie que le voleur peut être loin de vous lorsque la transaction est conclue, même si vous recevez un SMS de votre banque en disant qu'une transaction suspecte a été détectée, vous n'aurez aucune idée d'où vous étiez lorsque le voleur vous a frappé.
Les auteurs du document disent que si quelqu'un profitait de cette faiblesse du système, il ne pourrait probablement pas obtenir 999 999, 99 $, car cela déclencherait d'autres alarmes à la banque (à moins, bien sûr, que vous soyez une de ces personnes qui dépense régulièrement plus d'un million de dollars sur leur carte de crédit). Même s'ils peuvent obtenir 50 £ de réduction sur chaque personne qu'ils rencontrent, cela pourrait représenter une énorme somme d'argent. Combien de personnes croisez-vous régulièrement dans le métro, ou en descendant une rue surpeuplée?
Protégez-vous
Les auteurs du document recommandent plusieurs choses que Visa devrait faire pour protéger ses clients contre ce genre d'attaques, comme exiger toujours un code PIN ou une vérification en ligne avant le traitement d'une transaction dans une devise étrangère. Visa a répondu à cette étude en disant que d'autres mesures de protection étaient en place et que cela ne poserait pas de problème (mais nous avons déjà entendu des choses de ce genre). Jusqu'à ce que Visa fasse des corrections spécifiques, c'est une bonne idée de vous protéger.
Le moyen le plus simple d'éviter ce problème est aussi le plus simple: n'utilisez pas de cartes sans contact. Si votre banque vous propose un choix, choisissez simplement l'option sans contact. Assez simple. Vous pouvez également demander à votre banque d'interdire les paiements en devises sur votre carte si vous ne voyagez pas souvent. Si vous choisissez l'une ou l'autre de ces options, vous n'aurez pas à vous inquiéter du tout.
Vous pouvez également utiliser un portefeuille bloquant le signal, comme les portefeuilles bloquant la RFID dont nous avons parlé l'année dernière. Qu'est-ce que les portefeuilles qui bloquent la RFID et lesquels devriez-vous acheter? Quels sont les portefeuilles de blocage RFID et que devez-vous acheter? Si vous saviez que quelqu'un pourrait lire vos cartes de crédit, votre passeport et même votre permis de conduire sans avoir à les faire glisser, prendriez-vous des mesures pour vous en prémunir? Lire la suite . Il y a pas mal de désaccord sur la question de savoir si ces portefeuilles sont vraiment efficaces et s'ils sont nécessaires, mais en utiliser un ne vous rendra certainement pas plus vulnérable à ce genre d'attaque. Il y a beaucoup d'options, des portefeuilles en cuir élégants aux valises robustes en polycarbonate que vous pouvez utiliser pour bloquer les signaux. Certaines personnes enveloppent simplement leurs cartes dans du papier d'aluminium, aussi, bien que, encore une fois, l'efficacité de ceci a été remise en question. Certaines personnes recommandent même d'utiliser une boîte Altoids.
Que Visa dise la vérité au sujet de ses autres sauvegardes attrapant une attaque comme celle-ci - et que les portefeuilles bloquant la RFID fassent vraiment leur travail - il est important d'être conscient des menaces potentielles comme celle-ci. Les cartes sans contact sont vraiment utiles, mais elles n'ont pas été utilisées en grand nombre depuis si longtemps, alors nous avons encore besoin de temps pour les comprendre.
Que pensez-vous de cette menace? Etes-vous inquiet de la sécurité de vos cartes sans contact? Utilisez-vous une carte sans contact ou un portefeuille bloquant la RFID? Partagez vos pensées ci-dessous!
Crédits image: Cartes de crédit en focus superficiel via Shutterstock (édité), Swisstack via Wikimedia Commons, Voleur volant un portefeuille d'un homme marchant dans la rue. Vol à la tire dans la rue pendant la journée via Shutterstock.