Une faille de sécurité permet aux cartes Visa de dépenser plus de 30€ en paiement sans contact

01 août 2019 à 18h29
22
Paiement sans contact
© Shutterstock

Des pirates réussissent à prendre virtuellement possession des cartes Visa et contournent la limite de dépense fixée à 30€ avec le sans contact.

Bien que les chercheurs aient majoritairement observé cette fraude au Royaume-Uni, celle-ci peut quand même avoir lieu en dehors du pays.

La faille testée pour cinq grandes banques britanniques

Cinq banques britanniques ont été testées par les chercheurs : pour toutes, le blocage du seuil des 30£ (soit 32,92€) comme la vérification du sans contact (au Royaume-Uni, un code secret de vérification supplémentaire est obligatoire pour valider les paiements supérieurs à 30£) n'ont pas fonctionné avec les cartes Visa testées.

Les chercheurs ont aussi noté que le test effectué fonctionnait en dehors du pays, toujours avec des cartes Visa. Le contournement de la limite de paiement en sans contact apparaît possible dans la mesure où Visa n'impose pas aux émetteurs et aux acquéreurs d'effectuer des contrôles bloquant les paiements sans vérifications minimales.

La découverte de cette faille met en lumière un manque de sécurité sérieux. Visa et les banques émettrices devraient en effet imposer ce type de contrôles. En outre, les banques devraient pouvoir disposer de leurs propres outils pour détecter et bloquer l'appareil de contournement.

Le fonctionnement de l'attaque

De fait, le contournement de la limite de paiement est effectué grâce à un appareil qui intercepte la communication entre la carte et le terminal. Cet outil intervient tel un proxy, indiquant en premier lieu à la carte qu'elle n'a pas besoin de demander de vérifications supplémentaires (tel le fameux code secret), et ce même si le montant à payer dépasse 30£.

Ce même appareil indique ensuite au terminal que la vérification a été effectuée. Comme les contrôles des émetteurs et acquéreurs ne sont pas obligatoires, le paiement est validé, en sans contact et bien sûr, sans avoir besoin d'aucun code secret pour valider l'achat.

De même, si vous avez ajouté votre carte Visa à votre portefeuille mobile et que vous réglez vos achats avec, restez prudents : le contournement s'effectue aussi sur ce système, et il est désormais possible de vous facturer, illégalement évidemment, jusqu'à 30£, sans déverrouiller votre téléphone.

Au Royaume-Uni, ces fraudes représentent 8,4 millions de livres sterling uniquement pour le premier semestre de 2018. Sur l'année 2017, les fraudes représentaient 14 millions de livres.

Voilà de quoi inviter les détenteurs de carte Visa à être plus attentifs à leur relevé de compte afin de détecter toute utilisation frauduleuse, le plus tôt possible. Les chercheurs conseillent également de mettre en place le système de vérification et de validation du paiement via des codes reçus par message.

Source : Helpnet Security
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
22
16
PierreKaiL
Voilà pourquoi j’ai refusé le paiement sans contact de ma visa et pourquoi je n’enregistre aucun moyen de paiement sur quoi que ce soit. Je conseil à tout le monde de faire pareil, quand on veut utiliser un service pcq on a la flemme de sortir sa carte ou de mettre son code et bien ça se paye, et pas qu’en frais bancaire. Le plus dingue est que certains paiements via android (google) demande à chaque fois si on est sure de vouloir la vérification, il y en a surement qui coche “ne plus demander”, grosse erreur.
ariakas
Donc lorsque vous voyez dans les films que n’importe qui peut crocheter une serrure avec un petit crochet, du coup, vous ne sortez plus de chez vous.<br /> C’est d’une logique imparable.<br /> De même, les CB sont piratables, donc vous ne payez plus que en Espèces puisque pareil, le chèque peut se falsifier.
ariakas
Il y’a une différence entre être vigilant sur son compte en Banque ,ce qui est d’une logique imparable, et d’être pétrifié de peur devant un paiement sans contact.<br /> Il faut arréter de déconner, le paiement sans contact ne représente bien évidemment aucun danger.<br /> Le seul danger, c’est de payer par carte sans contact dans des boutiques chelou.<br /> Mais ça, c’est valable par carte, par internet, en espèce, partout.<br /> Allez au marcher de votre ville acheter une breloque au marchand rasta, 1 coup sur 2 vous allez vous retrouver avec un billet de 5€ truqué, la pièce de 1€ truquée etc…<br /> Maintenant, allez payer votre baguette de pain, au Carrefour du coin et dans toute grande enseigne, bien évidemment que ça ne représente aucun risque.
titwill
L’article traite du fait que des pirates ont trouvé le moyen de dépasser la limite de 30€ “hors vérification”.<br /> Selon moi, le payement sans contact est une avancée (pour payement de petits montants).<br /> Tout est dans le rapport : “confort &lt;&gt; risque” … rapport que l’on accepte à un certain niveau. Niveau qui est différent pour chacun. Ce rapport existe pour n’importe quoi qui envoie des infos vers l’extérieur (votre position GPS, vos photos stockées dans le cloud, votre numéro de CB sur un post-it dans le tiroir, le mot de passe du PC écrit sous le clavier,…)
Strat0s
moi jutilise mon tel pour payer partout et c’est genial XD continue a flipper de la vie et moi je continuerai avec ma banque N26 ou je peux tout controler depuis le site ou mon tel. La technologie n’est pas faite pour tout le monde
Blues_Blanche
Vive la monnaie fiduciaire, fiable, disponible de partout et qui a fait ses preuves
nathakzra35
Au canada la limite est de 100$ et c’est super securisé. Je me suis fais avoir une fois l’année dernière, et ma banque m’a appelé directement car elle trouvait que la localisation des paiements n’était pas habituelle. Ils ont bloqué ma carte, et en 5 minutes à la banque, ils m’ont refait une nouvelle carte.<br /> Je trouve que c’est bien securisé les banques de nos jours, il y aura toujours des failles mais plus difficiles à deniché et généralement corrigées dans la foulée.
PierreKaiL
C’est tellement beau votre confiance dans ces facilités de paiements que j’en pleurerai presque de pétrification…
spytech
Racisme anti Rasta ?
Faisduvelo
Qui n’a pas perdu un billet dans sa vie ? Qui n’a jamais été embêté avec des chèques (ou avec le fait qu’un commerçant ne veut pas de paiement par chèque parce qu’il s’est trop fait rouler) ? Qui n’a pas été embêté avec une carte ?<br /> Le paiement sans contact offre de nouvelles facilités, et peut-être même un gain de sécurité quand il est fait avec un smartphone qui vérifie l’identité du porteur (empreinte ou visage). Malheureusement, il offre aussi de nouvelles opportunités d’arnaque et c’est bien d’être au courant pour en limiter la portée au maximum.<br /> La différence par rapport aux billets qu’on perd ou qu’on se fait piquer, c’est qu’on peut contrôler à posteriori et annuler la transaction dans la majorité des cas. Donc c’est quand même plus sécurisé, il me semble.
Feladan
Oui enfin c’est l’extrême.<br /> Surtout pour le sans contacte, les arnaques sont rares, les frais sont recouvrables, les technologies peuvent se maitriser (paiement sans contact dans un étui que la quasi totalité des banques donnent gratuitement, activation des banques d’un service de confirmation, contrôles des banques (géolocalisation, frais peu commun, répétition … ) , gestion de la puce NFC du paiement par téléphone, demande de déverrouillage du smartphone … Bref tout un tas de moyen de sécurisation qui rendent les arnaques complétement marginales.)<br /> Vous allez à l’extrême dans un soucis de sécurité. Mais vous semblez assez hautain (vis à vis du deuxième commentaire), donc je me demande même pourquoi j’ai répondu…<br /> Vous avez plus de chance de vous faire cartonner en voiture qu’avoir une arnaque de ce genre. Je vous conseil de ne plus sortir de chez vous . Effectivement, l’avancée technologique doit vous faire très très peur.
Azarcal
Oui enfin un truc me chagrine, ne serait ce pas au magasin de basculer obligatoirement sur un paiement a code des les 30€ depassés ??
PierreKaiL
Je ne pense pas que ce soit un extrême que de mettre soi même le code qd on fait un achat, en plus c’est en rapport de l’utilisation, si je faisais 50 ou même 10 achats par jour ok je considererai peut être la chose autrement, ce n’est pas avec les 3-4 achats par semaine que je vis un extrême en me méfiant de ces moyens de paiement, quand à ma hautaineté (apparemment ça se dit), ni plus ni moins que vous, mais c’est vrai un peu quand même oups. Bonne journée et comme un amateur de pastaga/cacahuète m’a appris je rajouterai un parapluie violet mais ouvert pcq ça protège quand même mieux
Feladan
Non, mais vous n’avez pas juste dit “mettre soi même le code quand on fait un achat”.<br /> Vous avez dis : “refuser le paiement sans contact, n’enregistre aucun moyen de paiement sur quoi que ce soit” “Je conseil à tout le monde de faire pareil”. Et par extension, j’imagine que vous refuser le paiement par téléphone également.<br /> Et là, c’est de tout autre nature, on palpe un certain extrémisme à vouloir proscrire les nouveaux moyens de paiement par peur. <br /> Edit: Je ne connaissais pas hautaineté non plus.
PierreKaiL
C’était un peu long à tout répéter mais oui je reconfirme, et aucun paiement par téléphone ça va de soit. Les conseilleurs ne sont pas les payeurs, comme quoi ça se vérifie, après chacun fait comme il veut mais faut pas venir pleurer ensuite.<br /> Edit: wi on se couchera moins bête ce soir, en tout cas pour ma part
kurdy34
Si vous avez une carte dans une banque classique vous avez de grandes chances qu’elle soit assurée. Donc si on vous vole via un sans contact ou en VAD vous serez couverts.<br /> Je connais mal les neobanques mais sur bourso l’assurance est en plus il me semble.
reith
ouais faut être plus neutre …mais bon les sous-dev luttent comme ils peuvent et ils représentent les franges de liberté dans le monde orwellien
yoda_net
TOUTES les cartes sont couvertes pour les fraudes. Un paiement sans contact que tu n’as pas fait : la banque doit te rembourser. A elle de prouver que c’est toi qui a utiliser la carte pour le paiement contesté. (NB par contre, si c’est bien toi qui a utilisé la carte pour le paiement contesté, tu prends cher).<br /> Les banques essayent toujours de te fourguer des tas d’assurances, c’est là dessus qu’elles se goinfrent, mais le paiement par carte est déjà garanti en lui même, dès lors qu’il n’y a pas utilisation du code secret (sans contact ou VAD). Leurs assurances permettent juste un remboursement plus rapide (en théorie) et la couverture de l’utilisation de la carte avec le code avant même l’opposition dans certains cas (voir conditions du contrat)
jaceneliot
Faut pas tomber dans la parano. De toute façon, il suffit de faire opposition avec Visa. Ils ne peuvent pas l’empêcher.
PierreKaiL
Oui bon à la relecture mon message était peut être un peu exagéré surtout que je voulais surtout dire que je conseil à des gens comme moi, qui n’ont pas l’utilité de ce genre de chose et bien de demander à ne pas l’avoir, c’est juste du bon sens pas de la parano mais pour une personne qui doit sortir sa carte 10 fois par jour pour x raisons biensur il ne se pose pas la question. Il faut que je modère mes propos, la différence entre l’écrit et le parlé, pas tjrs évident, bref bonne soirée/fin de soirée.
ariakas
j’aurais dit Jean Claude Due, y’en aurait pour crier au racisme anti claude, d’autres Jean, et d’autres pour les Due.
Brousse.ouillisse
@PierreKail.<br /> Dommage que tu te sentes obligé de faire marche arrière…mais Il est difficile d’avoir raison contre tout le monde. pourtant Prudence est mère de sureté.
Voir tous les messages sur le forum

Actualités du moment

Nuits des étoiles : le programme dans cinq grandes villes françaises
Xbox Scarlett : plus que les graphismes, Microsoft veut révolutionner les sensations de jeu
PlayStation 4 : la console de Sony dépasse le cap symbolique des 100 millions d'unités écoulées
Pokémon Go vient de franchir le milliard de téléchargements
Samsung : plombé par un défaut de la demande, le fabricant voit son bénéfice divisé par deux ce trimestre
🔥 Forfait RED : derniers jours pour profiter du forfait sans engagement 5 Go à 5€/mois à vie !
NVIDIA SHIELD TV : la mise à jour Android Pie est là avec moult améliorations !
Chrome 76 bloque ENFIN Flash par défaut et rend le mode incognito... incognito
Free VS BFMTV : la justice condamne l'opérateur contre l'avis du CSA
🔥 Vente flash Gearbest : Amazfit Smart Watch GTR à 135€ au lieu de 162,61€
Haut de page