Carte Visa: Une faille de sécurité permettrait de vider des comptes (en théorie plus qu'en pratique)

PAIEMENT SANS CONTACT Des chercheurs ont mis en évidence que la fonctionnalité de paiement sans contact des cartes Visa présente une faille de sécurité

Jennifer Mertens pour 20 Minutes

— 

Une faille de sécurité permet de vider les comptes des cartes Visa
Une faille de sécurité permet de vider les comptes des cartes Visa — Geeko

Une brèche de sécurité commune à l’ensemble des cartes Visa vient d’être identifiée par des chercheurs en cybersécurité de l’École polytechnique fédérale de Zurich. Cette faille en question se situe au niveau du paiement sans contact. Une fonctionnalité qui est pourtant protégée puisque en cas de paiement d’un montant important, l’utilisateur de la carte doit s’authentifier de plusieurs manières ; code de sécurité, reconnaissance digitale ou faciale via son smartphone. Or, c’est justement ce système d’authentification mis en place pour sécuriser les paiements qui semble poreux.

Les chercheurs de l’ETH Zurich sont en effet parvenus à réaliser des transferts de sommes d’argent importantes en outrepassant l’authentification. Pour cela, ils ont utilisé deux smartphones. Le premier simulait le terminal de paiement auprès de la carte Visa volée et l’autre simulait une carte Visa auprès du vrai terminal de paiement. Cette arnaque nécessite donc un peu de matériel, mais rien de bien difficile à obtenir pour des personnes mal intentionnées.

Grâce à un protocole de paiement modifié, les chercheurs sont parvenus à faire croire au terminal de paiement que l’authentification avait bien été faite. Dans les faits, ce n’était pas le cas. Sans limites d’achat et sans devoir s’authentifier, les chercheurs étaient en mesure de transférer des sommes importantes sans problème. La carte Visa interprétait ses montants comme inférieurs au seuil nécessitant de valider l’achat.

Vous pouvez voir l’astuce en action dans la vidéo de démonstration des chercheurs :

Rien à craindre

Pour pouvoir exploiter cette brèche, il faut évidemment disposer d’une carte Visa, après quoi les personnes malintentionnées n’ont plus qu’à vider le compte de leurs victimes. Les chercheurs de l’ETH de Zurich ne partagent pas en détail le protocole de paiement qu’ils ont modifié pour berner le terminal de paiement et la carte Visa pour des raisons évidentes.

Si vous êtes propriétaire d’une carte Visa, vous pouvez donc vous rassurer. En cas de perte ou de vol, faites-en sorte de bloquer rapidement votre carte. Selon Visa, il n’y aurait pas de quoi s’inquiéter : « Les études et tests peuvent être intéressants, mais en réalité ce genre de méthodes s’est avéré irréalisable à mettre en place par des fraudeurs dans le monde réel. »