Tel un couple mal assorti, l’un ne va pas sans l’autre : nouvelles technologies et faille de sécurité. Malheureusement qui dit évolution des technologies et des moyens de paiements dit tentative de piratage, et cyber attaque. Quand le premier se développe le deuxième trouve de nouvelles techniques pour continuer d’opérer et tel un virus qui mute il s’adapte aux dernières évolutions.
Le piratage du paiement sans contact
Dans un contexte de rentrée assez chargé, il est possible d’être passé à côté de la dernière affaire notable de piratage. Pourtant de nombreux quotidiens ont repris cette information, que ce soit l’indépendant, Midilibre, SudOuest, MSN, 01Net, France info, le Figaro et bien d’autres encore.
La faille de Visa
Pour ceux qui seraient passés à côté de l’ « anecdote », l’entreprise Visa s’est retrouvée confrontée à une vidéo virale exposant une faille de sécurité permettant de pirater le paiement sans contact.
Cette faille a été trouvée par 3 chercheurs en sécurité de l’École polytechnique fédérale de Zurich (ETH Zurich), David Basin, Ralf Sasse et Jorge Toro. Dans leur vidéo ils ont pu démontrer qu’il est possible de faire sauter le plafond de paiement du sans contact d’une carte Visa, le tout par le biais d’une application Android. Ils ont pu effectuer des paiements non authentifiés tout en faisant croire au terminal que l’authentification avait bien été effectuée sur le smartphone utilisé pour la duperie.
Une lutte concurrentielle féroce
Ne soyons pas dupes, le secteur des moyens de paiement est hyper concurrentiel. Mastercard, Paypal, Alipay, … ,et l’Union Européenne qui prépare sa propre solution, se livrent une bataille très agressive. Très rares sont les solutions technologiques sans faille. Si quelqu’un veut démontrer qu’un site ou un moyen de paiement est attaquable, normalement il trouvera toujours un moyen. Les « hackathons » se multiplient et ils regroupent des experts, geeks, de plus en plus nombreux qui testent les solutions dans le but de les améliorer. Et par « test », cela signifie souvent de trouver les failles.
Pointer du doigt cette faille, c’est donner un signal d’alerte aux consommateurs. Leur faire peur pour mieux les manipuler, peut-être ?
Fonctionnement du « hack »
Pour se faire, « rien de plus simple » dixit les articles de la presse quotidienne, la vidéo montre qu’il suffit de placer d’une part un téléphone sur la carte Visa, et d’une autre un second téléphone connecté au premier en wifi. Le premier téléphone sert de leurre sur le terminal de carte bancaire, où innocemment vous pensez être protégé lorsque vous payez. Le leurre permet d’effectuer un paiement sans code, sans contact et surtout sans limite de paiement sur le compte rattaché à la carte de paiement.
Cela n’est donc pas si simple à mettre en place …
Pour mémo, le paiement par carte bancaire sans contact permet de régler des petits montants. Initialement le plafond était de 30€. Depuis la pandémie, la limite maximum d’achat a été rehaussée à 50€. Le paiement sans contact a fortement augmenté avec l’avènement des gestes barrières. Et permettre de faire des achats plus importants devenait une nécessité.
Au-delà de ce montant palier de 50€, l’utilisateur de la carte devra alors « s’identifier » par le biais de son code secret ou de son empreinte biométrique selon le moyen de validation choisi. La faille de sécurité du paiement sans contact se trouve au niveau de l’authentification. En effet d’après leur expérience, démontrée par la vidéo, ils ont prouvé que via une simple application Android, il était possible d’outre passer cette autorisation tout en donnant au terminal de paiement l’information selon laquelle l’autorisation a été donnée.
Cette faille a été transmise à Visa directement. En effet ce n’est pas rien, la carte Visa est l’une des plus courante, cela concernerait au bas mot 44 millions de personnes…
Prévention de la Fraude
Que fait Visa pour protéger ses clients ?
Visa travaille dur pour assurer la sécurité des paiements, pour ce faire la société utilise plusieurs niveaux de sécurité dans le but d’éviter les fraudes.
Elle a une équipe dédiée à ça, qui travaille sans relâche sur le sujet : l’équipe de lutte contre la fraude ou VFI.
Face au buzz suscité par cette vidéo, le service relation presse de Visa nous a répondu ceci :
« Visa traite toutes les menaces liées à la sécurité avec le plus grand sérieux, et nous apprécions les efforts de la part de l’industrie et du milieu universitaire visant à renforcer la sécurité des paiements. Les consommateurs peuvent continuer à utiliser leurs cartes Visa en toute confiance. »
« Les évolutions des méthodes de fraude par étapes sont étudiées depuis près d’une décennie. Au cours de cette période, aucune fraude de ce type n’a été signalée. Les études et tests peuvent être intéressants, mais en réalité ce genre de méthodes s’est avéré irréalisable à mettre en place par des fraudeurs dans le monde réel. »
« Les cartes de paiement sans contact sont très sécurisées. Intégrant la même technologie sécurisée que les cartes à puce EMV®, les cartes sans contact sont extrêmement efficaces pour prévenir la contrefaçon, car elles s’appuient sur un code à usage unique qui évite que des données compromises soient réutilisées dans un contexte de fraude. »
Elle met notamment des services à disposition de ses clients :
- Visa Account Attack Intelligence : cette solution permet d’empêcher les tests de compte (et donc le vol des informations liées à un paiement en ligne par exemple, numéro de carte, date d’expiration, le code au dos de la carte (CVV) ou encore l’adresse de la personne).
- Visa eCommerce Threat Disruption : qui empêche lui l’écrémage en ligne. C’est une méthode qui consiste à injecter du code javascript malveillant dans des sites afin de récolter numériquement là aussi vos informations de paiement via les formulaires de paiement.
Que faire pour se protéger sous même du piratage ?
Les piratages sont devenus monnaie courante à l’heure d’aujourd’hui. En avril par exemple face à l’explosion du e-commerce, de nombreux sites marchands ont été compromis. En effet le e-commerce devient de plus en plus une habitude de consommation, à l’instar des boutiques physiques, boudées par les consommateurs. Mais il existe des moyens de s’en prémunir à la portée de tous.
Nous avons rédigé de nombreux dossiers pour aider les consommateurs à :
- Eviter les pièges lors des achats en ligne,
- Y voir plus clair sur les bons comportements à adopter face aux vols de données bancaires.
Vérifier l’URL du site où l’on souhaite acheter
Pour être sûr que le site où l’on souhaite effectuer des achats est un site sécurisé, et que l’on ne risque pas l’arnaque la première chose à vérifier est l’URL de ce dernier.
L’URL d’un site c’est ça : https://www.comparateurbanque.com/.
Pour savoir s’il est sécurisé il faut regarder que « http » soit bien suivi de la lettre « s » qui signifie que la page est sécurisée.
N’hésitez pas non plus à lire les CGV, et regarder d’où vient la société, quelle est sa politique de retour, et les avis sur des sites comme Trustpilot pour connaître les retours d’expérience des autres consommateurs.
Utiliser une carte virtuelle
Fortuneo propose une carte bancaire dématérialisée ou carte bancaire virtuelle. Celle-ci est dédiée au paiement des achats en ligne. Comment cela fonctionne ? C’est très simple la carte est reliée à un numéro de compte, a une date de validité et un code de vérification, comme une « vraie » carte en somme. A la différence près que cette dernière est éphémère puisque sa durée d’utilisation est définie lors de sa création.
Pas de risque de se faire voler les numéros de sa carte, puisque ceux-ci sont à usage unique, une fois l’achat réalisé la carte ne peut plus être utilisée, et vos données sont donc en sécurité.
Se méfier de l’hameçonnage ou phishing
Technique très souvent utilisée. qui n’a jamais reçu un mail ou un sms disant qu’une entité comme EDF, les impôts, SFR, Free, Bouygues ou autre avait besoin de vos coordonnées bancaire pour un remboursement. Sauf la plupart du temps, ces messages sont rédigés avec des fautes d’orthographe, envoyés avec des adresses douteuses et surtout la plupart du temps par un opérateur que vous n’avez pas. Recevoir un remboursement peut être tentant et la joie du moment rendre plus confiant, sauf qu’il ne faut pas oublier un élément important : ces organismes qui vous prélèvent ONT vos coordonnées. Il faut faire attention à ce type de message qui arrivent donc souvent en boîte email. Alors que le message d’un ami ou d’une marque que vous aimez bien sera en boîte spam. C’est parfois à se demander comment fonctionnent les filtres des FAI (les messageries).
En cas de doutes, il vaut mieux contacter directement un conseiller plutôt que de répondre à ce type de mail.
En bref pas d’inquiétudes à avoir, les solutions sont multiples pour préserver vos coordonnées bancaires et sécuriser vos achats, la seule habitude à changer si ce n’est pas déjà le cas c’est de bien vérifier les sites sur lesquels vous allez.
