Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Les étonnantes fuites de la carte bancaire sans contact

auteur de l'article Jerome Saiz , dans la rubrique Produits & Technologies

Du côté des émetteurs de cartes, en revanche, des solutions sont envisageables… à condition de vouloir régler le problème ! Car autant l’on peut comprendre l’absence d’authentification du porteur pour des raisons pratiques, autant le manque d’authentification mutuelle entre la carte et le terminal de paiement, ainsi que le manque de chiffrement des transactions, étonnent.

Les cartes bancaires à puce savent très bien réaliser une poignée de main cryptographique. Pourquoi ne seraient-elles pas en mesure de le faire pour échanger une clé de session avec le lecteur sans contact ? (après tout les algorithmes cryptographiques d’échange de clé ont fait leurs preuves depuis longtemps !)

D’autant que depuis 2008 et le passage des cartes bancaires françaises en mode Dynamic Data Authentication (DDA), les cartes disposent toutes d’un cryptoprocesseur dédié tout à fait capable d’assurer la génération et l’échange d’une clé de session. Cela permettrait d’éviter l’écoute sauvage.

Même question pour l’absence d’authentification mutuelle entre la carte et le lecteur au moment de l’interrogation des données (elle a probablement lieu lors de la validation de la transaction). Pourquoi ne pas la forcer immédiatement, au moment de l’établissement du dialogue ?

Toutes ces décisions s’expliquent certainement par la recherche d’un acte de paiement simple et rapide, avec comme garantie la certitude, pour les banques, de savoir calculer le montant maximal de la fraude éventuelle. Mais, comme l’a démontré Renaud Lifchitz, les autres risques (extraction du nom du porteur à des fins d’identification d’une cible dans une foule, clonage de la piste magnétique) n’ont peut-être pas été estimés à leur juste valeur…


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

9 réponses à Les étonnantes fuites de la carte bancaire sans contact

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.