le vendredi 24 octobre 2014

Sécurité bancaire : se prémunir des risques du NFC et des nouvelles fraudes

Les cybercriminels ne sont jamais à court d'imagination pour s'en mettre plein les poches en se servant directement sur nos comptes bancaires. Outre les escroqueries qui se multiplient sur la toile, on assiste à une recrudescence de fraudes réalisées à partir d'un accès physique ou à courte portée des cartes de paiement. Des DAB (Distributeurs Automatique de Billets), aux automates des stations-services, en passant par les terminaux des commerçants et les solutions de paiement sans contact NFC, les malfrats sévissent partout où l'argent circule.

Les techniques de fraudes à la carte bancaire ont beau être connues parfois depuis plusieurs années pour certaines, rien ne semble pouvoir les arrêter. La faute à quelques génies de l'informatique et de la bidouille qui parviennent à contrer toutes les mesures de sécurité mises en place par les établissements bancaires. Les cybercriminels ont souvent un coup d'avance et tirent parti de l'évolution et la miniaturisation des technologies pour parfaire leurs dispositifs de piratage.

Rien qu'en 2013, les sociétés financières américaines ont enregistré une perte annuelle de 8,7 milliards de dollars, dont une grande partie serait due au skimming (fraudes aux distributeurs automatiques de billets et terminaux de paiement). Voici un éventail des fraudes bancaires en plein essor.

distributeur de billets


Les skimmers de DAB

Le skimming (qui signifie écrémage en anglais) est une technique frauduleuse qui consiste à piéger les distributeurs automatiques de billets pour collecter les données contenues sur les bandes magnétiques des cartes bancaires, ainsi que leur code confidentiel. Pour récupérer les informations à votre insu, les malfrats utilisent un équipement appelé « skimmer ». Celui-ci se présente sous la forme d'un lecteur de carte qui se superpose à celui du distributeur au niveau de la fente pour copier les pistes, et d'une caméra intégrée au plafonnier ou directement dans le dispositif pour filmer la saisie des codes confidentiels. De faux claviers numériques placés par-dessus les originaux sont parfois utilisés à la place des caméras.

Les informations récoltées peuvent être enregistrées sur une carte mémoire intégrée au dispositif, puis être récupérées ensuite, ou transmises à distance par MMS ou via les ondes radio sur un téléphone portable. La fabrication et la vente de ce matériel génèrent une véritable industrie notamment en Bulgarie et en Roumanie où des usines de skimmers ont pignon sur rue !

Une fois détournées, les précieuses données permettent aux fraudeurs de cloner les cartes bancaires et de les envoyer ou de les vendre dans des pays étrangers où les distributeurs et les terminaux de paiement ne requièrent pas, comme en France, la lecture d'une puce électronique (mieux sécurisée), mais uniquement celle de la bande magnétique. De nombreux pays, dont les États-Unis, ne disposent pas de cartes à puce électronique. Les victimes ne se rendent souvent compte de rien jusqu'au jour où elles reçoivent leur relevé de compte bancaire sur lequel apparaissent divers paiements ou retraits effectués à l'étranger.

Skimming DAB 02

Redoutables, les skimmers ultra fins de toute dernière génération intègrent à la fois un lecteur de bande magnétique et une micro-caméra. Pas plus grande qu'une tête d'épingle, elle filme la saisie du code confidentiel par le biais d'un minuscule trou placé sur le dispositif en direction du clavier.


Distributeurs sous contrôle des hackers


Ce matériel haut de gamme n'est pas le seul moyen de s'attaquer aux DAB. En 2013, des hackers apparemment très doués avaient réussi à pirater plusieurs distributeurs automatiques de billets à l'aide de clés USB. Pour cela, ils avaient percé discrètement les machines de façon à pouvoir y brancher des périphériques et y installer un code malveillant (malware). Après avoir rebouché discrètement les trous, ils n'avaient plus qu'à taper un code pour accéder à une interface spécifique et vider les DAB de leur contenu. Cette affaire n'a pas été dévoilée par la banque en question restée anonyme, mais par des experts en sécurité à l'occasion d'une conférence visant à montrer ce mode de piratage de haute volée.

distributeur de billets


Stations-services et boutiques sous « haute » surveillance !


Le skimming ne concerne plus uniquement les distributeurs automatiques de billets des banques, mais aussi et de plus en plus souvent les stations-services. Plusieurs cas de fraudes à la carte bancaire ont été révélés ces dernières années dans des stations en France. Comme sur les DAB, les fraudeurs installent les dispositifs sur les automates des distributeurs à essence afin de copier et reproduire les cartes bancaires des clients. L'un des cas les plus graves était survenu dans une station essence en Bretagne où les fraudeurs avaient piégé plusieurs automates simultanément, ce qui leur avait permis de copier plus de 1000 cartes et subtiliser 1,2 millions d'euros au total.

Une nouvelle forme d'attaque en vogue concerne les terminaux de paiement des points de vente (restaurants, boutiques, grandes surfaces...). Le principe est simple : les criminels s'arrangent pour remplacer le TPE (Terminal de Paiement Electronique) par un modèle identique piraté par leur soin, ou le subtilisent le temps de leur ajouter les composants nécessaires pour pouvoir lire et récupérer à distance les données des cartes bancaires des clients. Une méthode très difficile à détecter qui fait des ravages en France depuis quelque temps.

Paiements sans contact et sans sécurité ?


La majorité des cartes bancaires émises depuis 2012 intègrent une puce NFC (Near Field Communication ou Communication en Champ Proche en français). Cette technologie utilisée de longue date pour les cartes de transports permet entre autres d'effectuer des paiements sans contact en approchant la carte bancaire, ou le terminal mobile, près d'une borne d'encaissement. Aussi incroyable que cela puisse paraître, les sociétés qui éditent les cartes à l'échelle mondiale - Visa, Mastercard, etc. - ont implémenté cette technologie de communication sans aucun protocole de cryptage.

Carte Bancaire NFC

La nouvelle génération de cartes bancaires Visa et Mastercard imposée aux clients intègre quasi-systématiquement la technologie NFC. Signalée par un petit logo en forme d'ondes radar, elle permet d'effectuer des paiements d'un montant maximum de 20 euros sans avoir à saisir le code confidentiel...

Avant que des experts en sécurité ne dénoncent cette aberration et que la CNIL (Commission Nationale de l'Informatique et des Libertés) ne décide de mener une enquête, il était possible de « sniffer » l'intégralité des données des cartes bancaires NFC (nom, prénom, numéro, date de validité, historique des opérations...) à l'insu de leur propriétaire à l'aide d'un lecteur NFC ou d'une application mobile. Deux ans plus tard, les choses n'ont pas beaucoup changé, mais la CNIL a tout de même obtenu des banques qu'elles retirent certaines informations sensibles comme le nom et le prénom des titulaires. Pas de quoi rassurer les foules, d'autant que les premiers terminaux d'encaissement NFC commencent peu à peu à être déployés dans les commerces (environ 17 % des commerces en France en sont équipés à l'heure actuelle).



NFC CARD DETAIL 01
NFC CARD DETAIL 2


Avec l'application Android « EMV NFC pay card reader », il est possible, sans aucune connaissance technique, de lire le contenu d'une carte bancaire NFC. Une fois installée sur un smartphone NFC, celle-ci permet de collecter des informations aussi sensibles que le numéro, la date d'expiration, ou encore l'historique des opérations. Il faut toutefois tapoter la carte sur le dos du smartphone pour que cela fonctionne. Un matériel plus sophistiqué est nécessaire pour pouvoir véritablement hacker une carte bancaire à distance dans un rayon d'environ 10 à 15 mètres.
Modifié le 24/10/2014 à 14h35
Commentaires