Une faille de sécurité énorme sur les cartes bancaires
Le consortium anglais des cartes bancaires « UK Cards Association » (http://www.theukcardsassociation.org.uk/) demande le retrait d’une thèse de Master de Juin 2010 intitulée « The smart card detective: a hand-held EMV interceptor », par Omar S.Choudary de l’université de Cambridge, Comptuer Laboratory, Darwin College.
« Cette thèse place dans le domaine public une faille de sécurité sur les puces et les code PIN des cartes, avec un niveau de détail engageant la responsabilité de l’auteur », plaide le consortium. « Nous demandons le retrait immédiat de l’accès au public de cette thèse ». Plus de 1milliards de cartes bancaires sont concernées par cette faille, dont la vôtre.
Construire le smart card defender
La thèse (disponible sur notre site) explique comment fabriquer un accessoire portable, le « Smart Card Defender » (SCD), qui permet d’intercepter les communications entre la puce de paiement par carte et le terminal, pour un coût de fabrication de quelques dizaines d’euros. La thèse explique qu’il a découvert une vulnérabilité permettant de compléter une transaction sans connaitre le bon code PIN et en détaille le fonctionnement. Des scientifique de la même université de Cambridge avaient déjà démontrés en Février 2010 que le système de code PIN sur les cartes était vulnérable à une attaque. Omar Choudary a mis en ligne le projet complet: http://www.cl.cam.ac.uk/~osc22/scd/
Code source en licence libre
Mieux, le programme et son code source est disponible en licence libre (GNU GPL), de même que les schémas de conception. Une fois construit, l’appareil pourrait permettre, avec n’importe quelle carte bancaire, et en une facilité déconcertante, de régler vos achats sans même connaître le code de la carte. Une aubaine pour les pirates, qui disposent maintenant d’un outil libre et accessible pour faire leurs achats… avec votre carte.
[Update 11/01]: Suite à une conversation sur notre tchat avec Omar Choudary, celui-ci nous indique que la totalité du code traitant de la vulnérabilité sur le de code PIN (cad le fait de pouvoir traiter les transactions sans code pin véritable) n’est pas en ligne (seul le code pour l’appareil est disponible), et que quelques banques anglaises ont pour l’instant pu combler la faille. Celui-ci nous indique également qu’aucune poursuite judiciaire n’a pour l’instant été engagée par le consortium, et qu’il espère un statu quo sur cette affaire.
Ross Anderson, professeur à l’université de Cambridge, a répondu dans un courrier du 24 décembre adressé au consortium des cartes bancaires : lettre-universite-cambridge.pdf
« Vous semblez penser que nous pouvons censurer la thèse d’un étudiant, qui est légale et déjà dans le domaine public, simplement parce que son intérêt important vous importune. Cela démontre une profonde méconnaissance du travail et de l’objectif des universités. Cambridge est l’université d’Erasmus, de Newton et de Darwin. Censurer les écrits va à l’encontre de nos plus profondes valeurs. J’ai donc autorisé cette thèse comme document technique du laboratoire, ce qui facilitera sa diffusion et assurera sa présence permanente sur le web ». et a jouté un post sur son blog, en guise de « joyeux noël à tous les banquiers » http://www.lightbluetouchpaper.org/2010/12/25/a-merry-christmas-to-all-bankers/
EMV, un standard mondial
EMV signifie Europay, Mastercard and Visa, et est le standard de communication et d’authentification des transactions bancaires par carte sur les terminaux de paiements notamment, qui existe depuis 1995. EMV est implémentée dans les puces de plus de 1 milliard de cartes bancaires dans le monde.
EMV est une marque déposée de EMVCO http://www.emvco.com/ et soutenue par la quasi totalité des banques et plates formes de paiements dans le monde, par exemple en France le consortium Cartes Bancaires, Atos origin, la BPCE ou le crédit mutuel. Un reportage sur le sujet avait été tourné en Angleterre par les équipes de « Spécial investigation » (Canal Plus). La BBC s’est également fait echo du projet.
Comme tous, nous espérons que la diffusion de ces informations permettra aux consortiums cartes bancaires de réagir et de corriger les failles de sécurité béantes plutôt que de chercher à censurer de telles publications. Ce post est une information issue de la prestigieuse université de Cambridge, et en aucun cas un appel à réaliser l’appareil concerné, son utilisation pour des cartes tierces étant bien entendu totalement illégale.
——————————————–
Sources:
Page Omar Choudary http://www.cl.cam.ac.uk/~osc22/scd/
Blog Ross Anderson http://www.lightbluetouchpaper.org/2010/12/25/a-merry-christmas-to-all-bankers/
Université de Cambridge http://www.cl.cam.ac.uk/
UK Card Association http://www.theukcardsassociation.org.uk/
Pour nous suivre sur Twitter: http://twitter.com/_diapo
Pour retweeter cet article : http://twitter.com/#!/wecho_com/status/24807010142789632
Reactive, notre agence etudie votre projet sous 24h et vous apporte une reponse et des solutions concretes.
C’est énorme cette info
OMG mais ils vont la corriger cette faille
entre l’annonce des chercheurs de Cambridge, la publication de la thèse et maintenant le code en accès libre pour construire le truc en 5min, çà fait presque un an que çà dure. Mais pourquoi je paie ma carte bleue moi 
Tiens ça me rappelle mes belles heures à bidouiller les HEX pour choper Canal Sat et TPS gratos.
J’étais le meilleur copain de tous les monde à l’époque
Faut que je sorte mon programmateur du placard…