Sécurité bancaire : se prémunir des risques du NFC et des nouvelles fraudes

24 octobre 2014 à 14h33
0
Les cybercriminels ne sont jamais à court d'imagination pour s'en mettre plein les poches en se servant directement sur nos comptes bancaires. Outre les escroqueries qui se multiplient sur la toile, on assiste à une recrudescence de fraudes réalisées à partir d'un accès physique ou à courte portée des cartes de paiement. Des DAB (Distributeurs Automatique de Billets), aux automates des stations-services, en passant par les terminaux des commerçants et les solutions de paiement sans contact NFC, les malfrats sévissent partout où l'argent circule.

Les techniques de fraudes à la carte bancaire ont beau être connues parfois depuis plusieurs années pour certaines, rien ne semble pouvoir les arrêter. La faute à quelques génies de l'informatique et de la bidouille qui parviennent à contrer toutes les mesures de sécurité mises en place par les établissements bancaires. Les cybercriminels ont souvent un coup d'avance et tirent parti de l'évolution et la miniaturisation des technologies pour parfaire leurs dispositifs de piratage.

Rien qu'en 2013, les sociétés financières américaines ont enregistré une perte annuelle de 8,7 milliards de dollars, dont une grande partie serait due au skimming (fraudes aux distributeurs automatiques de billets et terminaux de paiement). Voici un éventail des fraudes bancaires en plein essor.

03E8000007656947-photo-distributeur-de-billets.jpg


Les skimmers de DAB

Le skimming (qui signifie écrémage en anglais) est une technique frauduleuse qui consiste à piéger les distributeurs automatiques de billets pour collecter les données contenues sur les bandes magnétiques des cartes bancaires, ainsi que leur code confidentiel. Pour récupérer les informations à votre insu, les malfrats utilisent un équipement appelé « skimmer ». Celui-ci se présente sous la forme d'un lecteur de carte qui se superpose à celui du distributeur au niveau de la fente pour copier les pistes, et d'une caméra intégrée au plafonnier ou directement dans le dispositif pour filmer la saisie des codes confidentiels. De faux claviers numériques placés par-dessus les originaux sont parfois utilisés à la place des caméras.

Les informations récoltées peuvent être enregistrées sur une carte mémoire intégrée au dispositif, puis être récupérées ensuite, ou transmises à distance par MMS ou via les ondes radio sur un téléphone portable. La fabrication et la vente de ce matériel génèrent une véritable industrie notamment en Bulgarie et en Roumanie où des usines de skimmers ont pignon sur rue !

Une fois détournées, les précieuses données permettent aux fraudeurs de cloner les cartes bancaires et de les envoyer ou de les vendre dans des pays étrangers où les distributeurs et les terminaux de paiement ne requièrent pas, comme en France, la lecture d'une puce électronique (mieux sécurisée), mais uniquement celle de la bande magnétique. De nombreux pays, dont les États-Unis, ne disposent pas de cartes à puce électronique. Les victimes ne se rendent souvent compte de rien jusqu'au jour où elles reçoivent leur relevé de compte bancaire sur lequel apparaissent divers paiements ou retraits effectués à l'étranger.

0320000007655607-photo-skimming-dab-02.jpg

Distributeurs sous contrôle des hackers

Ce matériel haut de gamme n'est pas le seul moyen de s'attaquer aux DAB. En 2013, des hackers apparemment très doués avaient réussi à pirater plusieurs distributeurs automatiques de billets à l'aide de clés USB. Pour cela, ils avaient percé discrètement les machines de façon à pouvoir y brancher des périphériques et y installer un code malveillant (malware). Après avoir rebouché discrètement les trous, ils n'avaient plus qu'à taper un code pour accéder à une interface spécifique et vider les DAB de leur contenu. Cette affaire n'a pas été dévoilée par la banque en question restée anonyme, mais par des experts en sécurité à l'occasion d'une conférence visant à montrer ce mode de piratage de haute volée.

03E8000007656955-photo-distributeur-de-billets.jpg


Stations-services et boutiques sous « haute » surveillance !

Le skimming ne concerne plus uniquement les distributeurs automatiques de billets des banques, mais aussi et de plus en plus souvent les stations-services. Plusieurs cas de fraudes à la carte bancaire ont été révélés ces dernières années dans des stations en France. Comme sur les DAB, les fraudeurs installent les dispositifs sur les automates des distributeurs à essence afin de copier et reproduire les cartes bancaires des clients. L'un des cas les plus graves était survenu dans une station essence en Bretagne où les fraudeurs avaient piégé plusieurs automates simultanément, ce qui leur avait permis de copier plus de 1000 cartes et subtiliser 1,2 millions d'euros au total.

Une nouvelle forme d'attaque en vogue concerne les terminaux de paiement des points de vente (restaurants, boutiques, grandes surfaces...). Le principe est simple : les criminels s'arrangent pour remplacer le TPE (Terminal de Paiement Electronique) par un modèle identique piraté par leur soin, ou le subtilisent le temps de leur ajouter les composants nécessaires pour pouvoir lire et récupérer à distance les données des cartes bancaires des clients. Une méthode très difficile à détecter qui fait des ravages en France depuis quelque temps.

Paiements sans contact et sans sécurité ?

La majorité des cartes bancaires émises depuis 2012 intègrent une puce NFC (Near Field Communication ou Communication en Champ Proche en français). Cette technologie utilisée de longue date pour les cartes de transports permet entre autres d'effectuer des paiements sans contact en approchant la carte bancaire, ou le terminal mobile, près d'une borne d'encaissement. Aussi incroyable que cela puisse paraître, les sociétés qui éditent les cartes à l'échelle mondiale - Visa, Mastercard, etc. - ont implémenté cette technologie de communication sans aucun protocole de cryptage.

0320000007656961-photo-carte-bancaire-nfc.jpg

La nouvelle génération de cartes bancaires Visa et Mastercard imposée aux clients intègre quasi-systématiquement la technologie NFC. Signalée par un petit logo en forme d'ondes radar, elle permet d'effectuer des paiements d'un montant maximum de 20 euros sans avoir à saisir le code confidentiel...

Avant que des experts en sécurité ne dénoncent cette aberration et que la CNIL (Commission Nationale de l'Informatique et des Libertés) ne décide de mener une enquête, il était possible de « sniffer » l'intégralité des données des cartes bancaires NFC (nom, prénom, numéro, date de validité, historique des opérations...) à l'insu de leur propriétaire à l'aide d'un lecteur NFC ou d'une application mobile. Deux ans plus tard, les choses n'ont pas beaucoup changé, mais la CNIL a tout de même obtenu des banques qu'elles retirent certaines informations sensibles comme le nom et le prénom des titulaires. Pas de quoi rassurer les foules, d'autant que les premiers terminaux d'encaissement NFC commencent peu à peu à être déployés dans les commerces (environ 17 % des commerces en France en sont équipés à l'heure actuelle).



012C000007656321-photo-nfc-card-detail-01.jpg
012C000007656337-photo-nfc-card-detail-2.jpg


Avec l'application Android « EMV NFC pay card reader », il est possible, sans aucune connaissance technique, de lire le contenu d'une carte bancaire NFC. Une fois installée sur un smartphone NFC, celle-ci permet de collecter des informations aussi sensibles que le numéro, la date d'expiration, ou encore l'historique des opérations. Il faut toutefois tapoter la carte sur le dos du smartphone pour que cela fonctionne. Un matériel plus sophistiqué est nécessaire pour pouvoir véritablement hacker une carte bancaire à distance dans un rayon d'environ 10 à 15 mètres.
Modifié le 01/06/2018 à 15h36
0 réponses
0 utilisateurs
Suivre la discussion
Sélection Clubic VPN 2019

Les actualités récentes les plus commentées

Un chercheur lance une pétition pour rendre gratuits les articles liés au réchauffement climatique
Des équipes d'Amazon chargées de scruter les images des caméras de surveillance de la marque
Pour Michel Mayor, prix Nobel de physique 2019, l'humanité ne migrera pas sur d'autres planètes
LDLC.com à nouveau élu Service Client de l'Année 2020
Journée de la communauté Clubic.com : c'était samedi, c'était comment ?
Le géant de la réservation hôtelière Booking quitte lui aussi le navire Libra
Dyson laisse tomber son projet de voiture électrique
Fortnite avalé par un trou noir... en pause avant un nouveau chapitre ?
Le Conseil constitutionnel confirme que l'huile de palme n'est pas un biocarburant
M6 victime d'une cyberattaque affectant l'ensemble des employés du groupe

Notre charte communautaire

1. Participez aux discussions

Nous encourageons chacun à exprimer ses idées sur les sujets qui l'intéressent, et à faire profiter l'ensemble de la communauté de son expertise sur un sujet particulier.

2. Partagez vos connaissances

Que vous soyez expert ou amateur passionné, partagez vos connaissances aux autres membres de la communauté pour enrichir le niveau d'expertise des articles.

3. Échangez vos idées

Donnez votre opinion en étayant votre propos et soyez ouverts aux idées des autres membres de la communauté, même si elles sont radicalement différentes des vôtres.

4. Faites preuve de tolérance

Qu'il s'agisse de rédacteurs professionnels ou amateurs, de lecteurs experts ou passionnés, vous devez faire preuve de tolérance et vous placer dans une démarche d'entraide.

5. Restez courtois

Particulièrement lorsque vous exprimez votre désaccord, critiquez les idées, pas les personnes. Évitez à tout prix les insultes, les attaques et autres jugements sur la forme des messages.

6. Publiez des messages utiles

Chaque participation a vocation à enrichir la discussion, aussi les partages d'humeurs personnelles ne doivent pas venir gêner le fil des échanges.

7. Soignez votre écriture

Utilisez la ponctuation, prohibez le langage SMS et les majuscules, relisez-vous afin de corriger un peu les fautes de frappe et de français : trop de fautes n’engagent ni à lire le message, ni à répondre à une question.

8. Respectez le cadre légal

Ne publiez pas de contenus irrespectueux, racistes, homophobes, obscènes ou faisant l'apologie de courants radicaux, qu'ils soient politiques ou religieux. N'utilisez pas plusieurs comptes utilisateurs.

9. Ne faites pas de promotion

Ne profitez pas d'une discussion pour faire la publicité d'un produit, d'un service ou même de votre site web personnel.

10. Ne plagiez pas

Exprimez uniquement vos opinions ou partagez des idées en citant vos sources.

scroll top