Les États-Unis sont récemment passés de l’utilisation de cartes de crédit et de débit à bande magnétique considérées comme dangereuses, à l’utilisation de cartes à puce avec code PIN mieux protégées et réglementées par les normes EMV. Il s’agit d’un grand pas en avant pour améliorer la sécurité des transactions et réduire la fraude par carte. On pourrait penser que la fin de ce genre de fraude à la carte bancaire basée sur le clonage est proche.
Cependant, nos chercheurs ont récemment découvert qu’un groupe de cybercriminels brésilien a développé une technique pour voler les données des cartes et cloner avec succès les cartes à puce et leur code PIN. Nos experts ont présenté leurs recherches au SAS de 2018, et nous allons essayer de vous expliquer ce travail complexe dans ce bref article.
Gagner le jackpot aux distributeurs de billets et plus encore
Pendant que nos chercheurs se documentaient sur le malware utilisé par un groupe brésilien appelé Prilex pour gagner le jackpot aux distributeurs de billets, ils ont découvert une version modifiée de ce malware. Cette version disposait de caractéristiques supplémentaires et était utilisée pour infecter les TPV et collecter des données.
Ce malware pouvait modifier le logiciel du point de vente pour permettre à un tiers de s’emparer des données transmises par le TPV à une banque. Les escrocs obtenaient les données de la carte de cette façon. Tout simplement, lorsque vous effectuez un paiement dans un magasin dont le TPV est infecté, les données de votre carte sont immédiatement transmises aux criminels.
Cependant, disposer des données de la carte n’est qu’une partie du processus. Pour voler l’argent ils devaient pouvoir cloner les cartes, mais les puces et leurs multiples authentifications ont compliqué le processus.
Le groupe Prilex a développé toute une infrastructure qui laisse ses « clients » créer des clones de cartes, ce qui ne devrait pas être possible en théorie.
Pour comprendre comment c’est possible, vous voudrez peut-être d’abord jeter un coup d’œil au fonctionnement des cartes EMV. Nous allons essayer de rester aussi simple que possible, comme nous l’avons fait pour le clonage.
Fonctionnement des cartes à puce et à code PIN habituelles
La puce de la carte n’est pas seulement une mémoire flash, mais aussi un minuscule ordinateur capable d’exécuter des applications. Lorsque la puce est introduite dans un TPV, une série d’étapes commence.
La première étape est l’initialisation : le terminal reçoit les informations de base telles que le nom du titulaire de la carte, la date d’expiration de la carte et la liste des applications que la carte peut exécuter.
La seconde étape est optionnelle et il s’agit de l’authentification des données. Le terminal vérifie si la carte est authentique. Ce processus implique la validation de la carte en utilisant des algorithmes cryptographiques. C’est trop compliqué pour vous en parler ici.
La troisième étape est également facultative et il s’agit de la vérification du titulaire de la carte. Selon la programmation de la carte, le titulaire doit fournir le code PIN ou la signature. Cette étape est utilisée pour s’assurer que la personne qui essaie de réaliser le paiement avec la carte est réellement le titulaire.
La transaction est effectuée dans un quatrième temps. Remarquez que seules les étapes 1 et 4 sont obligatoires. Autrement dit, l’authentification et la vérification peuvent être évitées, et c’est là que les brésiliens passent à l’action.
Créer des cartes à l’infini
Nous avons une carte qui peut exécuter des applications, et lors du premier contact le TPV demande des informations à la carte pour savoir quelles applications sont disponibles. Le nombre et la complexité des étapes de la transaction dépendent des applications disponibles.
Les escrocs qui réalisent les clones de cartes ont créé une application Java que les cartes exécutent. L’application a deux capacités. Tout d’abord, elle indique au TPV qu’il n’y a pas besoin de procéder à l’authentification des données. Cela signifie qu’il n’y a pas d’opérations cryptographiques, ce qui leur épargne la tâche pratiquement impossible d’obtention des clés cryptographiques privées de la carte.
L’authentification par code PIN est maintenue. Cependant, il existe une possibilité dans les normes EMV qui permet de choisir lorsque l’entité vérifie si le code PIN est correct… votre carte. Plus précisément l’application qui s’exécute sur votre carte.
Vous avez bien lu. L’application des cybercriminels peut dire qu’un code PIN est valide peu importe le code saisi. Cela signifie que l’escroc utilisant la carte peut saisir quatre chiffres au hasard et ils seront toujours acceptés.
La fraude par carte comme service
L’infrastructure Prilex comprend l’applet Java décrit ci-dessus, et une application client appelée » Daphne » pour écrire les informations sur des cartes à puce. Les lecteurs et encodeurs de cartes à puce, ainsi que les cartes à puce vierges sont bon marché et leur achat est entièrement légal. Ils utilisent la même application pour vérifier quelle somme d’argent peut être retirée de la carte.
L’infrastructure inclut également une base de données avec les numéros des cartes et d’autres données. Peu importe s’il agit d’une carte de crédit ou de débit. » Daphne » peut cloner les deux. Les escrocs vendent toutes ces données dans un pack, principalement à d’autres criminels brésiliens, qui créent et utilisent les cartes clonées.
Conclusion
Selon le rapport de fraude par carte des consommateurs mondiaux de l’Aite publié en 2016, on peut supposer que tous les utilisateurs ont été mis en danger. Peu importe si vous utilisez une carte à bande magnétique ou une carte à puce et code PIN plus sécurisée. Si vous avez une carte, ses informations ont probablement été volées.
Maintenant que les criminels ont développé une méthode qui permet de vraiment cloner les cartes, il semble que ce soit une menace financière très dangereuse. Si vous voulez éviter que l’on vous vole des sommes importantes d’argent à travers la fraude par carte, nous vous recommandons de faire ce qui suit :
- Surveillez de près l’historique de vos transactions par carte, en utilisant l’envoi de notifications automatiques ou de SMS sur votre téléphone. Si vous remarquez des dépenses suspectes, appelez immédiatement votre banque et faites opposition de suite.
- Si possible, utilisez AndroidPay ou ApplePay. Ces méthodes ne divulguent pas les données de votre carte au TPV. Elles peuvent être considérées comme plus sûres que l’insertion de votre carte dans le TPV.
- Utilisez une autre carte pour les paiements par internet, parce que cette carte est encore plus susceptible d’être en danger que celles que vous utilisez uniquement dans les magasins traditionnels. Ne gardez pas de grandes sommes d’argent sur cette carte.