Si on vous racontait qu'on peut vous voler un million d'euros dans le métro sans que vous vous en rendiez compte, vous y croiriez ? Non ? Pourtant c'est tout à fait possible grâce à une faille de sécurité récemment découverte par des chercheurs... au niveau des cartes de crédit permettant le paiement sans contact, autrement appelé paiement NFC.
Et n'allez pas penser qu'il faut un dispositif ultra-poussé pour le faire : un simple smartphone suffit. Explications.
Une faille dans le paiement sans contact
Des chercheurs en sécurité informatique de l'université de Newcastle, au Royaume-Uni, ont mis en évidence une importante et dangereuse faille dans le système de paiement NFC, le nouveau système permettant le paiement sans contact dans les nouvelles cartes de crédit.
Normalement le paiement est limité à 20 euros ou 20 livres sterlings... en somme un montant assez réduit. Mais selon les chercheurs les cartes ne reconnaissent qu'une devise au niveau du blocage. En fait, il suffirait, pour une carte en euro, de faire un paiement en dollars pour dépasser cette limite.
Les chercheurs ont ainsi pu valider une transaction de 999 999,99 euros via une carte britannique, dont la devise est la livre sterling.
Pour une carte en euro il serait donc possible de valider une transaction de 999 999,99 dollars (799 239 euros) ou de 999 999,99 livres sterling (1,27 millions d'euros).
Un vol possible dans le métro... et partout ailleurs
Le paiement sans contact ne nécessite pas, comme son nom l'indique, de contact... mais également pas de code pin pour valider la transaction. La validation automatique est justement le problème central de cette faille de sécurité.
Les chercheurs ont en effet créé un logiciel permettant de réaliser automatiquement une transaction lorsqu'une carte de crédit NFC est à proximité. Et ce logiciel a été installé sur un simple smartphone Google Nexus 5...
Or, une carte de crédit à proximité, c'est facile à trouver... dans le métro, dans le bus, lors des soldes... et puisqu'il suffit que la carte en question soit dans votre sac ou votre porte-monnaie, vous ne vous apercevrez de rien.
Collecter les transactions... puis collecter les millions
Selon les chercheurs, le problème de sécurité est en outre plus compliqué : la transaction, validée, n'est pas transmise immédiatement à la banque, le système de paiement NFC autorisant les transactions « hors ligne ». Pour récupérer l'argent il faut que les données de la transaction soient insérées dans le réseau via le standard EMV. Mais avant cela il est possible de valider toute une série de transactions différentes.
Il suffit par la suite d'intégrer ces données au réseau ce qui est tout à fait possible en passant par n'importe quel système de paiement par carte bancaire de n'importe quel marchand. Les données du marchand ne faisant pas partie du processus de validation du paiement, la transaction peut être validée partout dans le monde et surtout chez n'importe quel marchand.
Vous voyez le souci ? Imaginez un groupe de voleurs qui se baladent avec un smartphone, valident des centaines de transactions et puis récupèrent l'argent chez un marchand qui serait leur complice...