Le « Ross Anderson » du
NFC (Near Field Communication) s'appelle Renaud Lifchitz. Il a démontré récemment
lors des GS Days 2012 comment il est simple d’interroger une carte NFC via
un lecteur USB et quelque ligne de code sur son ordinateur (portées sur un smartphone Android).
La démonstration est sans appel en passant la carte NFC près du lecteur USB Renaud Lifchitz a affiché le nom du porteur, le PAN, la date d’expiration, ainsi que le détail des 20 dernières transactions sur l’écran de son ordinateur. Renaud Lifchitz indique également que la piste peut être récupérer via ce procédé le tout à distance.
Les données porteurs ainsi collectées permettraient de réaliser des transactions de type VAD (Vente à Distance) sans authentification du porteur (Cxx2, 3D Secure ou SecurCode) ou de proximité dans un contexte hors EMV avec une piste dupliquée.
Renaud Lifchitz remet en question EMV (Europay Mastercard Visa) qui selon lui aurait été utilisé tel quel via NFC, sans se poser plus de question sur la sécurité des échanges entre la carte et le lecteur entre autre qui pour rappel n’est pas chiffré. Nous sommes donc ici devant une non-conformité aux exigences PCI DSS (pré-requis 4.1) qui exige que les transactions transmises via des réseaux publics ou ouvert soient chiffrées.
A noter néanmoins que les achats pistes en France sont impossibles dans la mesure les données de la puce sont inutilisables en piste magnétique (le CVX puce accessible NFC est différent du CVX piste et sera de facto refusé s'il est ré-encodé sur la piste d'une fausse carte piste générant une demande d'autorisation en provenance d'un commerce non EMV).
La démonstration est sans appel en passant la carte NFC près du lecteur USB Renaud Lifchitz a affiché le nom du porteur, le PAN, la date d’expiration, ainsi que le détail des 20 dernières transactions sur l’écran de son ordinateur. Renaud Lifchitz indique également que la piste peut être récupérer via ce procédé le tout à distance.
Les données porteurs ainsi collectées permettraient de réaliser des transactions de type VAD (Vente à Distance) sans authentification du porteur (Cxx2, 3D Secure ou SecurCode) ou de proximité dans un contexte hors EMV avec une piste dupliquée.
Renaud Lifchitz remet en question EMV (Europay Mastercard Visa) qui selon lui aurait été utilisé tel quel via NFC, sans se poser plus de question sur la sécurité des échanges entre la carte et le lecteur entre autre qui pour rappel n’est pas chiffré. Nous sommes donc ici devant une non-conformité aux exigences PCI DSS (pré-requis 4.1) qui exige que les transactions transmises via des réseaux publics ou ouvert soient chiffrées.
A noter néanmoins que les achats pistes en France sont impossibles dans la mesure les données de la puce sont inutilisables en piste magnétique (le CVX puce accessible NFC est différent du CVX piste et sera de facto refusé s'il est ré-encodé sur la piste d'une fausse carte piste générant une demande d'autorisation en provenance d'un commerce non EMV).
Aucun commentaire:
Enregistrer un commentaire