FYI.

This story is over 5 years old.

Tech

Les terminaux de paiement automatique européens sont vulnérables au piratage

Des chercheurs sont intervenus au Chaos Communication Congress pour montrer à quel point il était facile de récupérer les données et codes PIN de cartes bancaires
Image: Shutterstock

Les Etats-Unis se préparent à sortir définitivement du modèle « chip and pin », peu sécurisé, pour les transactions par cartes bancaires. L'Europe, quant à elle, se satisfait de ce système (qui combine l'utilisation d'une carte à puce et d'un code PIN à quatre chiffres) depuis plusieurs années, sans envisager le moindre changement. Mais ce n'est qu'une question de temps avant que les failles béantes du système ne soient exploitées par des individus peu scrupuleux.

Publicité

L'émission d'actualité allemande Tagesschau a présenté en avant-première les résultats des chercheurs qui interviendront prochainement au Chaos Communication Congress (un événement organisé par la scène hacker internationale) afin d'exposer en détail le large éventail de vulnérabilités et de défauts de conception qui affectent les terminaux de paiement utilisés en Europe. Ces vulnérabilités permettent à un pirate de voler le code PIN d'une victime, les données stockées sur la bande magnétique de sa carte bancaire, avant de virer des fonds vers n'importe quel compte bancaire en Allemagne. Ces failles pourraient affecter d'autres systèmes de paiement ailleurs en Europe.

En l'occurrence, des criminels bien organisés pourraient reproduire l'attaque simulée par les chercheurs « dans un délai d'un ou deux mois seulement » a affirmé Karsten Nohl, l'un des membres de l'équipe de recherche.

« N'importe quel dispositif faisant intervenir une bande magnétique et un code PIN est vulnérable à ce genre de manœuvres » explique Nohl.

Nous devons faire face à un problème d'une ampleur sans précédent, et que nous ne savons pas corriger.

L'équipe, qui réunit Nohl, Fabian Bräunlein et Philipp Maier, a testé les terminaux de paiement de cinq fournisseurs différents. Ce sont généralement de grosses entreprises, qui approvisionnent directement les marchands en terminaux. Ils sont également chargés de la maintenance des infrastructures nécessaires à l'acheminement des transactions.

Publicité

Les terminaux testés exploitent deux réseaux différents, chacun utilisant le même logiciel de back-end. « En Allemagne, on n'utilise un seul logiciel pour traiter les paiements par carte de crédit. Aussi, tout le monde peut subir les conséquences de la faille d'une manière ou d'une autre » explique Nohl.

Nohl et Bräunlein mèneront encore plusieurs attaques en essayant des méthodes différentes, afin d'éprouver la sécurité des deux protocoles de paiement utilisés en Allemagne : ZVT et Poseidon. Les protocoles sont, pour simplifier, des langages que les machines utilisent pour communiquer entre elles.

La première attaque a révélé la faille du protocole ZVT ; elle permet à un pirate de saisir le code PIN entré par la victime, ainsi que les données stockées sur la bande magnétique de sa carte bancaire. Pour cela, le pirate envoie un message à la signature cryptographique crédible au terminal de paiement ; celui-ci s'affiche sous la forme d'une demande de code PIN. Il attend ensuite que la victime tente d'effectuer une transaction, puis envoie ses propres commandes au terminal. La transaction échoue, mais le pirate a récupéré le code PIN de la carte ainsi que les informations stockées sur la bande magnétique.

Karsten Nohl, dans le documentaire réalisé par Motherboard sur l'achat de drogues et d'armes sur le dark net

Les chercheurs ont réussi cette opération en extrayant la clé utilisée pour signer les messages des terminaux. En l'occurrence, cette clé est la même pour tous les terminaux fournis par un service de paiement donné.

Publicité

« Nous avons eu du mal à la dénicher : il a fallu deux bonnes semaines de travail. Mais c'est une clé unique utilisée par l'ensemble du système, alors une fois que c'est fait, c'est fait. » explique Nohl. Dès lors que le pirate a récupéré la clé, il peut attaquer n'importe quel terminal du constructeur.

Pour envoyer le message factice demandant à la victime d'entrer son code PIN, le pirate n'a « même pas besoin d'entrer en contact physiquement avec le terminal » poursuit Nohl. Il suffit de se connecter sur le réseau qu'il utilise. « Dans un hôtel par exemple, il suffit de se servir du wifi pour pirater un terminal en fonction à l'accueil ou dans une boutique ; les hôtels ne disposent généralement que d'un seul réseau. L'interface de la plupart des modèles de terminaux (200 environ) est accessible directement par le web, sans protection. »

« En Allemagne, la grande majorité des terminaux utilisent ZVT » précise Nohl, ce qui signifie que 90% des terminaux allemands sont vulnérables à ce genre d'attaque.

« Quant à la seconde technique de piratage, elle est d'autant plus sérieuse qu'elle remet en question la conception du système dans son ensemble » ajoute-t-il.

Chaque terminal possède un identifiant unique. « Mais comme tous les terminaux ont la même clé, on peut facilement faire passer un terminal pour un autre. Pour mettre au point une attaque, le pirate n'a qu'à récupérer l'identifiant de la machine ciblée, ainsi que quelques informations faciles à obtenir sur le back-end du système de paiement. »

Publicité

Étonnamment, l'identifiant en question est mentionné sur n'importe quel ticket de reçu imprimé par le terminal. Et même sans ticket sous la main, il est très facile de le deviner car il est composé d'un nombre qui augmente de manière incrémentale à chaque paiement.

« Ces choix de conception sont totalement incompréhensibles » fait remarquer Nohl.

Telecash, l'un des principaux services de paiement en Allemagne, possède à l'heure actuelle plusieurs centaines de milliers de terminaux, tous reliés au même système.

« Grâce à Tor, il est possible prendre le contrôle de n'importe lequel d'entre eux par Internet. Ensuite, nous pourrions virer de l'argent sur des comptes bancaires allemands, dans l'heure. »

TeleCash n'a pas souhaité répondre aux questions de Motherboard sur ce sujet. En l'occurrence, comme l'immense majorité des autres services de paiement, il utilise le protocole Poseidon. Qui pose autant de problèmes que ZVT.

Nohl affirme que ces problèmes pourraient affecter d'autres pays d'Europe, où des protocoles similaires sont utilisés pour communiquer.

En 2012 il avait déjà révélé plusieurs failles concernant les terminaux de paiement européens. Les sociétés concernées ont fait savoir qu'elles prenaient ses remarques en compte, mais jusqu'à aujourd'hui aucune faille n'a été corrigée. « Quand le seront-elles ? Nous n'en savons rien. » ajoute Nohl.

Le chercheur estime que les vulnérabilités mises à jour cette année ne sont en soi pas plus menaçantes que celles qui ont été révélées par le passé. « Cependant, le problème concerne cette fois-ci un nombre sans précédents de services bancaires ; et surtout, c'est la première fois qu'aucune solution n'a été envisagée pour le corriger » explique-t-il.

Les chercheurs sont intervenus auprès des banques allemandes afin de les informer du problème. « Nous en sont toujours à l'étape de la communication, un processus mis en œuvre de façon aussi responsable que possible. »

Malheureusement, le temps presse. Si les criminels y mettent du leur, l'exploitation de ces vulnérabilités à grande échelle pourrait s'avérer plus rentable que le skimming, la méthode de piratage la plus répandue. En ce moment même, « des personnes piratent physiquement des guichets automatiques, un par un. Cette méthode pourtant laborieuse rapporte beaucoup d'argent. Ces gens sont extrêmement déterminés. »

Mise à jour : Selon Tagesschau, l'organisation bancaire allemande Deutsche Kreditwirtschaft aurait déclaré que le système allemand de transactions par cartes bancaires était parfaitement sécurisé. Elle a ajouté que l'attaque organisée par les chercheurs berlinois ne pouvait fonctionner que dans des conditions de laboratoire, et qu'en aucun cas les propriétaires de CB ne devaient se sentir menacés. La BECN, une organisation de commerce électronique, a quant à elle souligné qu'elle prenait très au sérieux la recherche sur le sujet, et a mentionné le fait que les logiciels des opérateurs étaient régulièrement mis à jour.