Peut-on réellement pirater une carte bancaire Visa en NFC ?

Régulièrement, des simulations d’attaques sortent sur la technologie EMV (paiement électronique). Cependant, aucune n’est exploitable hors d’un cadre très précis, et encore moins en France.
Trois chercheurs à Zurich ont publié une étude il y a quelques semaines. Avant que cela ne sorte, plusieurs experts de l’acquisition des paiements se sont penchés sur ce document. La sentence est sans appel, cette faille n’est pas exploitable, c’est un PoC (proof of concept), rien de plus.
Lorsqu’on vous expliquait le fonctionnement du « offline », nous avons plusieurs fois fait référence à une génération d’une signature ARQC. Cela indique que l’autorisation « offline » est impossible, et qu’il faut le concours de la banque pour obtenir l’acceptation du paiement.
On parle de « SAE » en français pour désigner le serveur d’autorisation associé à l’émetteur de votre carte. Ce dispositif opère de nombreux contrôles avant de délivrer sa réponse au réseau, qui la fera suivre jusqu’au terminal de paiement. Ce « SAE » a un rôle très important de par sa complexité. Le « SAE » est d’ailleurs externalisé dans toutes les FinTech car trop coûteux, plus aucune n’en a en interne. Certaines banques comme la Société Générale et La Banque Postale ont mis ce mécanisme en commun pour réduire les frais.
Le SAE fait de multiples points de contrôles et s’avère très efficace pour identifier les détournements de cartes. Pour cela, il contrôle par exemple les signatures et lorsqu’une signature est invalide, l’autorisation est refusée, et l’équipe de sécurité se met immédiatement sur le cas.
Dans le cas de l’étude, les chercheurs laissent penser qu’on peut contourner cette étape au niveau local avec la technologie NFC. En clair, on intercepte un signal d’une carte. On le  détourne ensuite via un équipement sous Android ou iOS en utilisant la partie NFC, afin de passer outre la limitation de 50€.
Pour rappel, la réglementation Européenne autorise 5 transactions maximum et/ou 150€ sans authentification du porteur. Vous ne pouvez pas aller au-delà, et cela cause même parfois des refus « inexpliqués » pour le client. Côté « SAE » il y a un compteur, celui-ci s’assure qu’en l’absence d’authentification (PIN), vous n’ayez pas dépassé la limitation imposée par l’EBA (l’autorité bancaire Européenne).
Lorsque le seuil est atteint, il refuse la transaction. C’est donc au TPE de vous inviter à insérer votre carte pour finaliser la transaction avec la saisie du PIN. Bon ce comportement est dans un monde idéal. Dans la pratique, le TPE indique souvent « paiement refusé » et abandonne le débit, il est rare qu’il demande « post-autorisation » d’insérer la carte.
Il existe deux mécanismes pour identifier le porteur, on parle de CVM quand on touche à la carte, et CDCVM quand on touche à un objet connecté. C’est d’ailleurs souvent en raison d’un problème de prise en charge du CDCVM que le TPE demande de signer le ticket, ou refuse le paiement mobile au-delà de 30 ou 50€. On simplifie pour cette question réponse, car d’autres paramètres peuvent déclencher une signature par exemple.
Lorsqu’un TPE est conforme, il doit détecter le CDCVM et chercher un champ nommé TRID (Token Requestor ID). C’est un identifiant permettant au TPE de savoir comment orienter le processus de paiement. Il remonte cette information à la « banque » du commerçant afin que le routage puisse se faire correctement.
Il y a plusieurs points de contrôles. Le premier est effectué par votre carte, le second par le terminal, puis d’autres sont fait par l’acquéreur (souvent la banque du commerçant), le réseau (Visa, CB, Mastercard…) et l’émetteur (sur le fameux SAE). À tout moment chacune des parties prenantes peut transformer un « oui » pour l’autorisation en « non ». C’est pour cette raison que sur certaines FinTech vous avez la notification de paiement « accepté » mais le TPE répond « refusé ». L’un des maillons de la chaine monétique aura décidé de changer la réponse en raison de ses règles de sécurité.
Très rares sont les banques, on n’en trouve pas en France, qui ne font pas de contrôles sur les signatures électroniques. On en trouve quelques une au Royaume Uni, car EMV n’est pas une norme adoptée depuis plus de 10 ans. La signature du ticket était encore fréquente il y a quelques années, de même que pouvoir utiliser la piste magnétique de votre carte. En France, l’usage de la piste est interdit depuis 2003. Si vous tentez de l’utiliser, le TPE refuse et demande d’insérer la carte si celle-ci dispose d’une puce.
L’exploit a été démontré sous Android, car l’écosystème est plus ouvert pour utiliser les fonctions « NFC ». Avec un iOS « jailbreak », c’est également possible, il y avait eu des PoC en ce sens. Nullement besoin d’accéder à l’enclave sécurisée qu’on trouve sur Samsung et Apple, juste à l’antenne NFC.
De manière générale, et une autre étude avait été publiée en début d’année, les réseaux ne réagissent pas. La raison est simple, c’est un PoC qui supprime toutes les mesures de sécurités pour la démonstration, alors que dans les faits, un « SAE » va bloquer, voir même le réseau (CB, Mastercard, Visa…).
Derrière ce côté sensationnel, il faut rappeler la réalité. En cas de fraude, c’est votre émetteur de carte qui supporte la perte, c’est-à-dire qu’il en sera de sa poche. Vous récupérer votre argent, et le commerçant garde aussi l’argent des paiements considérés comme « frauduleux ». Partant de là, il est logique que les banques déploient des mesures pour limiter la perte financière, et tout est déployé côté « SAE ».
Depuis quelques temps, les SAE sont même capables de détecter la copie des pistes magnétiques, et ça fonctionne plutôt bien. Sans rentrer dans les détails, tout est basé sur un contrôle des signatures de votre carte.
Transformé un paiement carte (CVM) en paiement mobile (CDCVM) est donc impossible sur le terrain. Si le TPE est détourné pour ne pas faire le contrôle, alors il sera effectué par l’acquéreur (la banque du commerçant ou le partenaire de celle-ci), mais un contrôle sera aussi fait par l’émetteur via son SAE.
Certains se souviendront de la période où Leclerc avait décidé de bloquer tous les paiements via les objets connectés. La méthode était très simple, bannir le CDCVM et appliquer un filtre sur le champ TRID de l’autorisation. Avec ce comportement, ils étaient assurés de bloquer 100% des objets connectés. Car le paiement mobile (CDCVM) répond aux mêmes règles quelques soit l’objet ou sa marque.

Conclusion

Les démonstrations sensationnelles dans un environnement « labo » supprimant toutes les mesures de sécurités, sont toujours impressionnantes pour le grand public. Mais quand on y regarde 30s, on comprend que sur le terrain c’est impossible à exploiter et les gardes fous arrêteront net ce comportement.
Lorsqu’un TPE s’adonne à des pratiques douteuses, il est bloqué par le réseau. Par conséquent, plus aucune autorisation n’est accordée. Une enquête est diligentée sur le commerçant et sa banque, ayant délivrée l’habilitation d’acceptation carte. Que ce soit Visa ou Mastercard, les sanctions sont sévères et la sentence sans appel.
C’est à cause de ces démonstrations, reprises dans la presse que certaines personnes deviennent craintives au paiement sans contact. Il ne faut pas entrer dans cette psychose ! Visa ou Mastercard ne sont pas des fous lorsqu’ils mettent en œuvre une méthode de paiement. Le risque, les détournements, les incidents, les abus… tout est analysé, surveillé pour rentre le paiement le plus fiable possible.
La carte bancaire reste à ce jour l’outil de paiement le plus sécurisé, et cela même devant des solutions comme Apple Pay, Google Pay, Samsung Pay & autres qui ne disposent pas de la qualification « authentification forte ». Le « online » est d’ailleurs obligatoire pour ces équipements en raison d’un niveau de sécurité inférieur à la carte. Seul le paiement mobile « SIM Centric » avait la possibilité de faire du « offline » car il disposait du même niveau de sécurité que la carte.
Notre conseil, utilisez votre carte, ne vous préoccupez pas de ce genre de démonstration. Les maillons de la chaine monétique sont là pour votre protection. Visa et son réseau VisaNet veillent sur les transactions et savent bloquer ce genre de comportement.
Image par Yannick McCabe-Costa de Pixabay