01/02/2012

L'attaque "Ross Anderson" exploitée en France !

Alors que suite à la publication de cet article en Janvier 2010 et d'un article de fond dans l'ActuSécu XMCO n°25 sur une méthode d'attaque des cartes à puce EMV par le principe de Man-In-The-Middle, j'avais reçu plusieurs courriers de personnes qui m'ont certifié que cette attaque ne pouvait pas fonctionner en France pour plusieurs raisons qui m'étaient restées obscures, je constate avec effarement que l'OCLCTIC vient d'arrêter un gang de cyber-escrocs qui exploitait cette technique.


Don't worry, we are secure....

Pour rappel:


  1. Le voleur vole une CB
  2. Utilise un lecteur dans son sac avec cette CB et un ordinateur muni d'un programme en charge du man-in-the-middle des communications entre le TPE du commerçant et la puce de la carte volée.
  3. Paye en insérant une fausse CB dans le TPE du commercant et saisi n'importe quel code PIN, l'ordinateur dans le sac se charge de communiquer à la carte volée que le TPE demande une transaction sans PIN.
  4. Il y a donc a priori un fil qui relie la fausse CB au sac à dos, qui passe dans la manche de l'escroc.

Il est possible que cette attaque fonctionne sur les TPE en région frontalière, où la configuration autorise le mode no PIN.

Cette attaque ne permet pas de retirer du cash aux distributeurs, car ceux-ci font systématiquement une vérification avec la banque du porteur (vérification online).

Cette attaque ne fonctionne pas si la carte a été déclarée volée il y a plus de 24h, car les TPE ont alors été télé-paramétrés avec la liste noire des CB volées.

Aucun commentaire:

Enregistrer un commentaire