On ne le répétera jamais assez. En cas de vol ou de perte de votre carte bleue, il est impératif de faire opposition le plus rapidement possible. D’autant plus qu’une nouvelle faille de sécurité menace sérieusement votre compte en banque.
En effet, des chercheurs en sécurité informatique de l’École polytechnique fédérale de Zurich en Suisse ont découvert une vulnérabilité inédite dans le processus de paiement sans contact des cartes bleues Visa.
Pour comprendre la dangerosité de cette faille, il faut avant toute chose revenir sur un point essentiel. En effet, il faut rappeler que les paiements via NFC sont soumis à deux plafonds distincts :
- un plafond situé à 30 euros, qui correspond aux paiements NFC sans authentification
- un plafond situé à plusieurs milliers d’euros, qui correspond aux paiements NFC avec authentification
Le premier concerne généralement les paiements dans les commerces, tandis que l’autre concerne majoritairement les transactions importantes effectuées sur le Net et soumises à un système de sécurité comme la reconnaissance faciale ou un lecteur d’empreintes digitales. Des protections que l’on retrouve par exemple sur Apple Pay ou Google Pay.
À lire également : TikTok a espionné des millions d’utilisateurs Android grâce à une faille de sécurité
À lire également : Amazon lance Ring Alarm, un nouveau kit de sécurité connecté pour le domicile
Or, comme l’expliquent les chercheurs suisses, cette vulnérabilité permet à des pirates de modifier ces limitations pour passer outre le premier plafond. De fait, il devient possible de faire des paiements non authentifiés avec une carte Visa, tout en garantissant aux terminaux de paiement qu’une authentification a été réalisée sur smartphone.
En d’autres termes, le pirate peut donc enchaîner les transactions d’un montant élevé sans procéder à aucune authentification. Pour ce faire, les pirates doivent s’équiper de deux smartphones.
L’un des appareils sert à simuler un terminal de paiement auprès de la carte bleue volée, tandis que le second smartphone simule une carte bleue auprès d’un terminal de paiement authentique. Les chercheurs ont d’ailleurs publié une vidéo sur YouTube (disponible ci-dessus) pour prouver que l’exploitation de cette faille est relativement facile.
Pour la contrer, les chercheurs affirment qu’une simple mise à jour logicielle des terminaux de paiement suffit. Évidemment, il faut que les constructeurs des différents terminaux publient leur patch respectif, ce qui peut prendre du temps.
Source : 01Net
Tesla : un pirate russe soudoie un employé pour installer un malware et se fait prendre
