Une faille de sécurité permet aux cartes Visa de dépenser plus de 30€ en paiement sans contact

22
Paiement sans contact
© Shutterstock

Des pirates réussissent à prendre virtuellement possession des cartes Visa et contournent la limite de dépense fixée à 30€ avec le sans contact.

Bien que les chercheurs aient majoritairement observé cette fraude au Royaume-Uni, celle-ci peut quand même avoir lieu en dehors du pays.

La faille testée pour cinq grandes banques britanniques

Cinq banques britanniques ont été testées par les chercheurs : pour toutes, le blocage du seuil des 30£ (soit 32,92€) comme la vérification du sans contact (au Royaume-Uni, un code secret de vérification supplémentaire est obligatoire pour valider les paiements supérieurs à 30£) n'ont pas fonctionné avec les cartes Visa testées.

Les chercheurs ont aussi noté que le test effectué fonctionnait en dehors du pays, toujours avec des cartes Visa. Le contournement de la limite de paiement en sans contact apparaît possible dans la mesure où Visa n'impose pas aux émetteurs et aux acquéreurs d'effectuer des contrôles bloquant les paiements sans vérifications minimales.

La découverte de cette faille met en lumière un manque de sécurité sérieux. Visa et les banques émettrices devraient en effet imposer ce type de contrôles. En outre, les banques devraient pouvoir disposer de leurs propres outils pour détecter et bloquer l'appareil de contournement.

Le fonctionnement de l'attaque

De fait, le contournement de la limite de paiement est effectué grâce à un appareil qui intercepte la communication entre la carte et le terminal. Cet outil intervient tel un proxy, indiquant en premier lieu à la carte qu'elle n'a pas besoin de demander de vérifications supplémentaires (tel le fameux code secret), et ce même si le montant à payer dépasse 30£.

Ce même appareil indique ensuite au terminal que la vérification a été effectuée. Comme les contrôles des émetteurs et acquéreurs ne sont pas obligatoires, le paiement est validé, en sans contact et bien sûr, sans avoir besoin d'aucun code secret pour valider l'achat.

De même, si vous avez ajouté votre carte Visa à votre portefeuille mobile et que vous réglez vos achats avec, restez prudents : le contournement s'effectue aussi sur ce système, et il est désormais possible de vous facturer, illégalement évidemment, jusqu'à 30£, sans déverrouiller votre téléphone.

Au Royaume-Uni, ces fraudes représentent 8,4 millions de livres sterling uniquement pour le premier semestre de 2018. Sur l'année 2017, les fraudes représentaient 14 millions de livres.

Voilà de quoi inviter les détenteurs de carte Visa à être plus attentifs à leur relevé de compte afin de détecter toute utilisation frauduleuse, le plus tôt possible. Les chercheurs conseillent également de mettre en place le système de vérification et de validation du paiement via des codes reçus par message.

Source : Helpnet Security
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page
Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (22)

ariakas
Donc lorsque vous voyez dans les films que n’importe qui peut crocheter une serrure avec un petit crochet, du coup, vous ne sortez plus de chez vous.<br /> C’est d’une logique imparable.<br /> De même, les CB sont piratables, donc vous ne payez plus que en Espèces puisque pareil, le chèque peut se falsifier.
ariakas
Il y’a une différence entre être vigilant sur son compte en Banque ,ce qui est d’une logique imparable, et d’être pétrifié de peur devant un paiement sans contact.<br /> Il faut arréter de déconner, le paiement sans contact ne représente bien évidemment aucun danger.<br /> Le seul danger, c’est de payer par carte sans contact dans des boutiques chelou.<br /> Mais ça, c’est valable par carte, par internet, en espèce, partout.<br /> Allez au marcher de votre ville acheter une breloque au marchand rasta, 1 coup sur 2 vous allez vous retrouver avec un billet de 5€ truqué, la pièce de 1€ truquée etc…<br /> Maintenant, allez payer votre baguette de pain, au Carrefour du coin et dans toute grande enseigne, bien évidemment que ça ne représente aucun risque.
titwill
L’article traite du fait que des pirates ont trouvé le moyen de dépasser la limite de 30€ “hors vérification”.<br /> Selon moi, le payement sans contact est une avancée (pour payement de petits montants).<br /> Tout est dans le rapport : “confort &lt;&gt; risque” … rapport que l’on accepte à un certain niveau. Niveau qui est différent pour chacun. Ce rapport existe pour n’importe quoi qui envoie des infos vers l’extérieur (votre position GPS, vos photos stockées dans le cloud, votre numéro de CB sur un post-it dans le tiroir, le mot de passe du PC écrit sous le clavier,…)
Strat0s
moi jutilise mon tel pour payer partout et c’est genial XD continue a flipper de la vie et moi je continuerai avec ma banque N26 ou je peux tout controler depuis le site ou mon tel. La technologie n’est pas faite pour tout le monde
Blues_Blanche
Vive la monnaie fiduciaire, fiable, disponible de partout et qui a fait ses preuves
nathakzra35
Au canada la limite est de 100$ et c’est super securisé. Je me suis fais avoir une fois l’année dernière, et ma banque m’a appelé directement car elle trouvait que la localisation des paiements n’était pas habituelle. Ils ont bloqué ma carte, et en 5 minutes à la banque, ils m’ont refait une nouvelle carte.<br /> Je trouve que c’est bien securisé les banques de nos jours, il y aura toujours des failles mais plus difficiles à deniché et généralement corrigées dans la foulée.
spytech
Racisme anti Rasta ?
Faisduvelo
Qui n’a pas perdu un billet dans sa vie ? Qui n’a jamais été embêté avec des chèques (ou avec le fait qu’un commerçant ne veut pas de paiement par chèque parce qu’il s’est trop fait rouler) ? Qui n’a pas été embêté avec une carte ?<br /> Le paiement sans contact offre de nouvelles facilités, et peut-être même un gain de sécurité quand il est fait avec un smartphone qui vérifie l’identité du porteur (empreinte ou visage). Malheureusement, il offre aussi de nouvelles opportunités d’arnaque et c’est bien d’être au courant pour en limiter la portée au maximum.<br /> La différence par rapport aux billets qu’on perd ou qu’on se fait piquer, c’est qu’on peut contrôler à posteriori et annuler la transaction dans la majorité des cas. Donc c’est quand même plus sécurisé, il me semble.
Azarcal
Oui enfin un truc me chagrine, ne serait ce pas au magasin de basculer obligatoirement sur un paiement a code des les 30€ depassés ??
kurdy34
Si vous avez une carte dans une banque classique vous avez de grandes chances qu’elle soit assurée. Donc si on vous vole via un sans contact ou en VAD vous serez couverts.<br /> Je connais mal les neobanques mais sur bourso l’assurance est en plus il me semble.
reith
ouais faut être plus neutre …mais bon les sous-dev luttent comme ils peuvent et ils représentent les franges de liberté dans le monde orwellien
yoda_net
TOUTES les cartes sont couvertes pour les fraudes. Un paiement sans contact que tu n’as pas fait : la banque doit te rembourser. A elle de prouver que c’est toi qui a utiliser la carte pour le paiement contesté. (NB par contre, si c’est bien toi qui a utilisé la carte pour le paiement contesté, tu prends cher).<br /> Les banques essayent toujours de te fourguer des tas d’assurances, c’est là dessus qu’elles se goinfrent, mais le paiement par carte est déjà garanti en lui même, dès lors qu’il n’y a pas utilisation du code secret (sans contact ou VAD). Leurs assurances permettent juste un remboursement plus rapide (en théorie) et la couverture de l’utilisation de la carte avec le code avant même l’opposition dans certains cas (voir conditions du contrat)
jaceneliot
Faut pas tomber dans la parano. De toute façon, il suffit de faire opposition avec Visa. Ils ne peuvent pas l’empêcher.
ariakas
j’aurais dit Jean Claude Due, y’en aurait pour crier au racisme anti claude, d’autres Jean, et d’autres pour les Due.
Brousse.ouillisse
@anon16165080.<br /> Dommage que tu te sentes obligé de faire marche arrière…mais Il est difficile d’avoir raison contre tout le monde. pourtant Prudence est mère de sureté.
Voir tous les messages sur le forum