Votre carte à puce est-elle sécurisée? Cela dépend beaucoup de votre banque – Krebs on Security


Les cartes de crédit et de débit à puce sont conçues pour empêcher les appareils d'écrémage ou les logiciels malveillants de cloner votre carte lorsque vous payez quelque chose en trempant la puce au lieu de faire glisser la bande. Mais une récente série d'attaques de logiciels malveillants contre des marchands basés aux États-Unis suggère que les voleurs exploitent les faiblesses dans la façon dont certaines institutions financières ont mis en œuvre la technologie pour contourner les principales fonctionnalités de sécurité des cartes à puce et créer efficacement des cartes utilisables et contrefaites.

https://krebsonsecurity.com/ "width =" 597 "height =" 375 "srcset =" http://e-commerce.je-creer-mon-site.com/wp-content/uploads/2020/08/Votre-carte-a-puce-est-elle-securisee-Cela-depend-beaucoup-de.png 807w, https: // krebsonsecurity .com / wp-content / uploads / 2020/07 / chipcard-580x364.png 580w, https://krebsonsecurity.com/wp-content/uploads/2020/07/chipcard-768x482.png 768w "tailles =" (max -largeur: 597px) 100vw, 597px "/>

<p id=Une carte de crédit à puce. Image: Wikipédia.

Les cartes de paiement traditionnelles encodent les données des comptes des titulaires de carte en texte brut sur une bande magnétique, qui peuvent être lues et enregistrées par des appareils d'écrémage ou des logiciels malveillants installés subrepticement dans les terminaux de paiement. Ces données peuvent ensuite être encodées sur n'importe quoi d'autre avec une bande magnétique et utilisées pour effectuer des transactions frauduleuses.

Les nouvelles cartes à puce utilisent une technologie appelée EMV qui crypte les données de compte stockées dans la puce. La technologie entraîne la génération d'une clé de chiffrement unique – appelée jeton ou «cryptogramme» – chaque fois que la carte à puce interagit avec un terminal de paiement à puce.

Pratiquement toutes les cartes à puce ont toujours les mêmes données que celles stockées dans la puce codées sur une bande magnétique au dos de la carte. Ceci est en grande partie pour des raisons de rétrocompatibilité car de nombreux commerçants – en particulier ceux des États-Unis – n'ont toujours pas entièrement implémenté les lecteurs de cartes à puce. Cette double fonctionnalité permet également aux titulaires de carte de faire glisser la bande si, pour une raison quelconque, la puce de la carte ou le terminal EMV d'un commerçant a mal fonctionné.

Mais il existe des différences importantes entre les données de titulaires de carte stockées sur les puces EMV et les bandes magnétiques. L'un de ceux-ci est un composant de la puce connu sous le nom de valeur de vérification de carte à circuit intégré ou «iCVV» en abrégé – également appelé «CVV dynamique».

L'iCVV diffère de la valeur de vérification de la carte (CVV) stockée sur la bande magnétique physique, et protège contre la copie des données de la bande magnétique de la puce et l'utilisation de ces données pour créer des cartes à bande magnétique contrefaites. Les valeurs iCVV et CVV ne sont pas liées au code de sécurité à trois chiffres qui est visiblement imprimé au dos d'une carte, qui est principalement utilisé pour les transactions de commerce électronique ou pour la vérification de la carte par téléphone.

L'attrait de l'approche EMV est que même si un skimmer ou un logiciel malveillant parvient à intercepter les informations de transaction lorsqu'une carte à puce est plongée, les données ne sont valables que pour cette transaction et ne devraient pas permettre aux voleurs d'effectuer des paiements frauduleux avec elle à l'avenir.

Cependant, pour que les protections de sécurité d'EMV fonctionnent, les systèmes back-end déployés par les institutions financières émettrices de cartes sont censés vérifier que lorsqu'une carte à puce est plongée dans un lecteur de puce, seul l'iCVV est présenté; et inversement, que seul le CVV est présenté lorsque la carte est glissée. Si, d'une manière ou d'une autre, ceux-ci ne correspondent pas pour un type de transaction donné, l'institution financière est censée refuser la transaction.

Le problème, c'est que toutes les institutions financières n'ont pas correctement configuré leurs systèmes de cette façon. Sans surprise, les voleurs sont au courant de cette faiblesse depuis des années. En 2017, j'ai écrit sur la prévalence croissante des «shimmers», des dispositifs d'écrémage de cartes de haute technologie conçus pour intercepter les données des transactions par carte à puce.

https://krebsonsecurity.com/ "width =" 593 "height =" 424 "srcset =" http://e-commerce.je-creer-mon-site.com/wp-content/uploads/2020/08/1596548761_130_Votre-carte-a-puce-est-elle-securisee-Cela-depend-beaucoup-de.png 969w, https: / /krebsonsecurity.com/wp-content/uploads/2017/01/ca-shim2-580x415.png 580w, https://krebsonsecurity.com/wp-content/uploads/2017/01/ca-shim2-768x549.png 768w , https://krebsonsecurity.com/wp-content/uploads/2017/01/ca-shim2-940x672.png 940w "tailles =" (largeur max: 593px) 100vw, 593px "/>

<p id=Gros plan d'un miroitement trouvé sur un guichet automatique canadien. Source: GRC.

Plus récemment, des chercheurs de Cyber ​​R&D Labs ont publié un article détaillant comment ils ont testé 11 implémentations de cartes à puce de 10 banques différentes en Europe et aux États-Unis.Les chercheurs ont découvert qu'ils pouvaient récolter des données de quatre d'entre elles et créer des cartes à bande magnétique clonées qui ont été utilisées avec succès pour effectuer des transactions.

Il y a maintenant de fortes indications que la même méthode détaillée par Cyber ​​R&D Labs est utilisée par les logiciels malveillants de point de vente (POS) pour capturer les données de transaction EMV qui peuvent ensuite être revendues et utilisées pour fabriquer des copies à bande magnétique de cartes à puce.

Plus tôt ce mois-ci, le plus grand réseau de cartes de paiement au monde Visa a publié une alerte de sécurité concernant un compromis récent de commerçant dans lequel des familles de logiciels malveillants de point de vente connus ont apparemment été modifiées pour cibler les terminaux de point de vente à puce EMV.

«La mise en œuvre d'une technologie d'acceptation sécurisée, telle que la puce EMV®, a considérablement réduit la facilité d'utilisation des données de compte de paiement par les acteurs de la menace, car les données disponibles ne comprenaient que le numéro de compte personnel (PAN), la valeur de vérification de la carte à circuit intégré (iCVV) et la date d'expiration », A écrit Visa. «Ainsi, à condition que l'iCVV soit correctement validé, le risque de fraude par contrefaçon était minime. De plus, de nombreux sites marchands utilisaient un cryptage point à point (P2PE) qui chiffrait les données PAN et réduisait encore le risque pour les comptes de paiement traités comme puce EMV®. »

Visa n'a pas nommé le commerçant en question, mais quelque chose de similaire semble s'être produit à Principaux magasins d'alimentation Co-Operative Inc., une chaîne de supermarchés dans le nord-est des États-Unis. Key Food a initialement révélé une violation de carte en mars 2020, mais il y a deux semaines a mis à jour son avis pour préciser que les données de transaction EMV ont également été interceptées.

«Les dispositifs de point de vente des magasins concernés étaient compatibles EMV», a expliqué Key Food. "Pour les transactions EMV à ces endroits, nous pensons que seuls le numéro de carte et la date d'expiration auraient été trouvés par le logiciel malveillant (mais pas le nom du titulaire de la carte ou le code de vérification interne)."

https://krebsonsecurity.com/ "width =" 590 "height =" 420 "srcset =" http://e-commerce.je-creer-mon-site.com/wp-content/uploads/2020/08/1596548761_785_Votre-carte-a-puce-est-elle-securisee-Cela-depend-beaucoup-de.png 674w, https: // krebsonsecurity .com / wp-content / uploads / 2020/07 / visaalert-580x413.png 580w "tailles =" (largeur maximale: 590px) 100vw, 590px "/></p>
<p>Bien que la déclaration de Key Food puisse être techniquement exacte, elle ignore la réalité selon laquelle les données EMV volées pourraient toujours être utilisées par des fraudeurs pour créer des versions à bande magnétique de cartes EMV présentées dans les registres du magasin compromis dans les cas où la banque émettrice de la carte ne l'avait pas fait. mis en œuvre correctement EMV.<span id=

Plus tôt dans la journée, la société de renseignement sur la fraude Gemini Advisory a publié un article de blog contenant plus d'informations sur les récents compromis des marchands – y compris Key Food – dans lesquels des données de transaction EMV ont été volées et ont été vendues dans des magasins clandestins qui s'adressent aux voleurs de cartes.

«Les cartes de paiement volées lors de cette violation ont été proposées à la vente sur le dark web», a expliqué Gemini. «Peu de temps après avoir découvert cette faille, plusieurs institutions financières ont confirmé que les cartes compromises dans cette faille étaient toutes traitées comme EMV et ne comptaient pas sur la bande magnétique comme solution de secours.»

Gemini dit avoir vérifié qu'une autre violation récente – dans un magasin d'alcools en Géorgie – a également entraîné la mise en vente de données de transaction EMV compromises dans des magasins du dark web qui vendent des données de cartes volées. Comme Gemini et Visa l'ont noté, dans les deux cas, une vérification iCVV appropriée par les banques devrait rendre ces données EMV interceptées inutiles pour les escrocs.

Gemini a déterminé qu'en raison du grand nombre de magasins affectés, il est extrêmement improbable que les voleurs impliqués dans ces violations aient intercepté les données EMV à l'aide de miroirs de cartes EMV physiquement installés.

«Compte tenu de l'extrême impraticabilité de cette tactique, ils ont probablement utilisé une technique différente pour violer à distance les systèmes de point de vente afin de collecter suffisamment de données EMV pour effectuer le clonage EMV-Bypass», a écrit la société.

Stas Alforov, Directeur de la recherche et du développement de Gemini, a déclaré que les institutions financières qui n’effectuent pas ces contrôles risquent de perdre la capacité de détecter lorsque ces cartes sont utilisées à des fins de fraude.

C’est parce que de nombreuses banques qui ont émis des cartes à puce peuvent supposer que tant que ces cartes sont utilisées pour des transactions par puce, il n’ya pratiquement aucun risque que les cartes soient clonées et vendues dans le métro. Par conséquent, lorsque ces institutions recherchent des modèles de transactions frauduleuses pour déterminer quels marchands pourraient être compromis par des logiciels malveillants de point de vente, elles peuvent complètement annuler les paiements par puce et se concentrer uniquement sur les marchands chez lesquels un client a glissé sa carte.

«Les réseaux de cartes prennent conscience du fait qu'il y a beaucoup plus de violations basées sur EMV qui se produisent actuellement», a déclaré Alforov. «Les plus grands émetteurs de cartes comme Chase ou Bank of America vérifient en effet (pour une discordance entre l'iCVV et le CVV), et annuleront les transactions qui ne correspondent pas. Mais ce n'est clairement pas le cas avec certaines institutions plus petites. »

Pour le meilleur ou pour le pire, nous ne savons pas quelles institutions financières n’ont pas réussi à mettre en œuvre correctement la norme EMV. C’est pourquoi il est toujours utile de surveiller de près vos relevés mensuels et de signaler immédiatement toute transaction non autorisée. Si votre établissement vous permet de recevoir des alertes de transaction par SMS, cela peut être un moyen quasiment en temps réel de surveiller de telles activités.


Tags: cartes à puce, cvv, Cyber ​​R&D Labs, EMV, Gemini Advisory, iCVV, Key Food violation, POS malware, shimmers, skimmers, Stas Alforov, Visa

Cette entrée a été publiée le jeudi 30 juillet 2020 à 11h09 et est classée sous Tout sur les skimmers, Derniers avertissements, The Coming Storm.
Vous pouvez suivre les commentaires sur cette entrée via le fil RSS 2.0.

Vous pouvez passer à la fin et laisser un commentaire. Le ping n'est actuellement pas autorisé.



Source link

Pourquoi confectionner une vitrine en ligne ?

Il n’a onques été aussi facile d’envoyer un site e-commerce de nos jours, il suffit de voir le nombre de plateformes web e-commerce en France pour s’en redonner compte. En effet, 204 000 websites actifs en 2016. En 10 ans, le taux le montant le pourcentage de websites a été multiplié par 9. Avec l’évolution des technologies, les média à grand coup d’histoire de succès story, (si dans l’hypothèse ou nous-mêmes vous assure, moi c’est aussi tombé a l’intérieur du panneau) le commerce électronique est longuement été vu tel que un eldorado. Du coup, une concurrence accrue a vu le journée dans de nombreuses thématiques.