September 26, 2020

Georges Kut Blog

#security, #fortinet, #Travel, #poland, #Swiss

#security, #fortinet, #Travel, #poland, #Swiss

Une nouvelle faille dans la vérification du code PIN affecte les paiements sans contact par visa

52 / 100

Publiée par un groupe d’universitaires de l’ETH Zurich, est une attaque par contournement du code PIN qui permet aux adversaires d’utiliser la carte de crédit volée ou perdue d’une victime pour effectuer des achats de grande valeur sans connaître le code PIN de la carte, et même de tromper un terminal de point de vente (POS) pour qu’il accepte une transaction par carte non authentique hors ligne.

Toutes les cartes sans contact modernes qui utilisent le protocole Visa, y compris les cartes Visa Credit, Visa Debit, Visa Electron et V Pay, sont concernées par cette faille de sécurité, mais les chercheurs ont avancé qu’elle pourrait également s’appliquer aux protocoles EMV mis en œuvre par Discover et UnionPay. La faille, cependant, n’a pas d’impact sur Mastercard, American Express et JCB.

Modification des qualifications des transactions par carte via l’attaque MitM

EMV (abréviation de Europay, Mastercard et Visa), le protocole international largement utilisé pour les paiements par carte à puce, exige que les montants plus importants ne puissent être débités que sur des cartes de crédit munies d’un code PIN.

pin bypass

Mais le dispositif mis au point par les chercheurs de l’ETH exploite une faille critique du protocole pour monter une attaque de type “man-in-the-middle” (MitM) via une application Android qui “indique au terminal que la vérification du code PIN n’est pas nécessaire parce que la vérification du titulaire de la carte a été effectuée sur l’appareil du consommateur”.

Le problème vient du fait que la méthode de vérification du titulaire de la carte (CVM), qui est utilisée pour vérifier si une personne qui tente une transaction avec une carte de crédit ou de débit est le titulaire légitime de la carte, n’est pas protégée cryptographiquement contre toute modification.

Par conséquent, les Card Transaction Qualifiers (CTQ) utilisés pour déterminer quelle vérification CVM, le cas échéant, est nécessaire pour la transaction peuvent être modifiés pour informer le terminal de point de vente de passer outre la vérification du code PIN et que la vérification a été effectuée à l’aide de l’appareil du titulaire de la carte tel qu’une montre intelligente ou un smartphone (appelé Consumer Device Cardholder Verification Method ou CDCVM).

Les chercheurs ont également proposé trois corrections logicielles au protocole pour empêcher le contournement du code PIN et les attaques hors ligne, notamment l’utilisation de l’authentification dynamique des données (DDA) pour sécuriser les transactions en ligne de grande valeur et l’obligation d’utiliser un cryptogramme en ligne dans tous les terminaux de point de vente, ce qui permet de traiter les transactions hors ligne en ligne.

Please follow and like us: