LA CARTE DE CREDIT : PROTECTIONS ET

Transcription

1 LA CARTE DE CREDIT : PROTECTIONS ET METHODES DE CONTOURNEMENT Julien Birène, Samuel Da Mota, Myriam Goupil, Xavier Guerraz, Morgan Hotonnier 31/10/2010 Ce rapport cherche { éclairer l utilisateur de la carte de crédit, de la première carte { puce française au format international EMV utilisé de nos jours. Nous étudierons les mécanismes d authentification et d habilitation des cartes de crédit et différentes méthodes les contournant.

2 SOMMAIRE I. Introduction... 3 II. Le système des cartes bancaires B0 (avant 2003) Fabrication de la carte bancaire Autorisation de la transaction... 4 a. Authentification de la carte... 4 b. Authentification du porteur de la carte... 5 c. Authentification en ligne (optionnel)... 5 d. Déroulement de la transaction (une fois autorisée)... 6 III. Petit rappel législatif... 7 IV. Contournement par duplication: Le card skimming Technique Protection Sensibilisation V. Contournement de l'authentification: La YesCard Technique Protection Sensibilisation VI. Vol d'identité: Peur justifiée du paiement en ligne Technique Protection Sensibilisation VII. Tromper l'utilisateur: Phishing, Pharming et Scams Technique Protection Sensibilisation VIII. Une attaque atypique : Piratage du DAB Reverse engineering sur borne ATM Attaque matérielle Attaque à distance Moyen de protection IX. Cartes de crédit nouvelle génération : format EMV SRS Day Page 1

3 1. Introduction Fonctionnement général Authentification a. Static Data Authentication (SDA) b. Dynamic Data Authentication (DDA) Gestion des transactions a. Fonctionnement hors ligne et en ligne b. Fonctionnement hors ligne uniquement X. EMV reste faillible: le PIN Authentication Spoofing Technique Protection Sensibilisation XI. Conclusion XII. Bibliographie SRS Day Page 2

4 I. INTRODUCTION Le besoin de pouvoir transporter son argent sans risquer de se faire voler n est pas nouveau : dès le XIIIème siècle les Templiers ont inventé un système de lettre de change, à base de cryptologie symétrique, très similaire au système de chèques et banques aujourd hui. Ce système permettait de voyager sans argent. Les voyageurs remettaient leurs biens aux Templiers avant un pèlerinage, en échange d une lettre de change. En arrivant à destination, d autres Templiers restituaient au voyageur la somme inscrite sur la lettre en monnaie locale. En 1914, Western Union met un système de carte en métal { disposition de ses clients. Mais c est en 1950 qu apparaît la première carte de crédit : le Diner s Club propose { ses membres un système permettant de dîner à crédit grâce à une carte de paiement sous forme de petit carnet. En 1958, Bank of America est la première banque à proposer une carte de crédit bancaire suivie par la Mastercard en Quelques années plus tard, l apparition de la carte { puce permet un paiement sécurisé sur un réseau mondial. La carte de crédit bancaire est aujourd hui un moyen de paiement très répandu et principalement utilisé pour des paiements chez des commerçants ou des retraits aux distributeurs automatiques. Au travers de ce rapport, nous chercherons à éclairer l utilisateur de la carte de crédit, de la première carte à puce française au format international EMV utilisée de nos jours. Nous étudierons les mécanismes d authentification et d habilitation des cartes de crédit et différentes méthodes les contournant. SRS Day Page 3

5 II. LE SYSTEME DES CARTES BANCAIRES B0 (AVANT 2003) 1. FABRICATION DE LA CARTE BANCAIRE Seul le groupement des cartes bancaires (le GIE carte bancaire) peut délivrer une carte bancaire. Lors de la fabrication d une carte bancaire, l organisme bancaire y intègre des données comme le nom du porteur, le numéro de la carte, la date de validité, un chiffré du code confidentiel à quatre chiffres, un code secret utilisé pour du DES ainsi qu une valeur de signature. La valeur de signature est un nombre calculé en fonction d un hash des autres informations présentes sur la carte et d une clé secrète appartenant au groupement des cartes bancaires. Le système cryptographique utilisé est le système RSA. 2. AUTORISATION DE LA TRANSACTION Lorsque l on introduit une carte bancaire dans un lecteur, l autorisation de la transaction se fait en plusieurs étapes : 1. Authentification hors ligne (ou authentification de la carte) 2. Authentification du porteur de la carte 3. Authentification en ligne (par le centre bancaire) a. AUTHENTIFICATION DE LA CARTE La première étape réalisée par le lecteur de carte bancaire lorsque l on y introduit une carte est de vérifier la validité de la carte i.e. que la carte a été émise par un centre bancaire. Pour ce faire, il procède à une vérification basée sur des données enregistrées dans la mémoire de la carte lors de sa création. Lorsque l on introduit la carte, celle-ci envoie au lecteur sa valeur de signature ainsi que les autres données qu elle contient. Pour vérifier que la carte est correcte, le lecteur utilise la clé publique du groupement bancaire pour déchiffrer la valeur de signature et vérifie que le nombre trouvé coïncide parfaitement avec le hashé fourni par la carte. Le fonctionnement se schématise comme suit : Figure 1: Transaction entre la carte et le lecteur SRS Day Page 4

6 1. Insertion de la carte dans le lecteur 2. La carte envoie ses informations et la valeur de signature 3. Le lecteur calcule le hash des informations 4. Le lecteur déchiffre la valeur de signature avec une clé publique 5. La carte est valide si et seulement les résultats obtenus aux étapes 3 et 4 sont identiques b. AUTHENTIFICATION DU PORTEUR DE LA CARTE Une fois que la carte a été authentifiée par le lecteur i.e. que la première étape s est déroulée correctement, le lecteur demande { l utilisateur d entrer un code { quatre chiffre qu il retransmet de suite à la carte pour validation. Cette dernière contient le code confidentiel chiffré, aussi pour vérifier que le code entré est correct. La carte chiffre le code reçu et le compare ensuite { la valeur qu elle contient. Le porteur de la carte est authentifié si et seulement les deux chiffrés coïncident, et la transaction pourra avoir lieu. c. AUTHENTIFICATION EN LIGNE (OPTIONNEL) Si le montant de la transaction dépasse un certain seuil ou que la carte utilisée interdit les découverts le lecteur procèdera à une autorisation auprès du centre bancaire. Pour ce faire, le centre bancaire va authentifier la carte bancaire avec un système DES puis autoriser ou non la transaction. Une fois contacté, le centre renvoie un nombre aléatoire X que le lecteur renvoie à la carte. Cette dernière calcule le DES de ce nombre avec sa clé secrète et renvoie le résultat. Le centre bancaire fait le même calcul (le centre connait la clé secrète puisque c est lui qui l a choisit lors de la création de la carte). Si les résultats coïncident la carte est alors authentifiée auprès de la banque. Celle-ci décide ensuite si elle autorise ou non la transaction en fonction du client (interdit bancaire, découvert trop élevé ). Figure 2: 3ème protection à base de DES SRS Day Page 5

7 d. DEROULEMENT DE LA TRANSACTION (UNE FOIS AUTORISEE) Le lecteur de carte mémorise toutes les transactions effectuées pendants la journée (étape 1 sur le schéma). Chaque soir il se connecte au centre bancaire du commerçant et lui envoie la liste des transactions de la journée (étape 2). Ce dernier contacte la banque de chacun des acheteurs pour réclamer la somme due (étape 3). Une fois que la banque du commerçant a reçu l argent des autres banques (étape 4), elle prélève ses taxes et retourne le reste au commerçant (étape 5). Figure 3: Déroulement de la transaction SRS Day Page 6

8 III. PETIT RAPPEL LEGISLATIF Les sanctions concernant les fraudes de cartes bancaires sont décrites par l article 67-1 de la loi n du 30 décembre 1991 issue du décret-loi du 30 octobre Cette loi condamne toute personne ayant falsifiée une carte de paiement, ayant utilisé une carte de paiement falsifiée, ou ayant accepté un paiement d une carte falsifiée. La peine encourue est une amende allant de 550 { ainsi qu un emprisonnement d un { sept ans. Les outils ayant servi à contrefaire les cartes de paiement sont confisqués, ainsi que les cartes en question qui seront détruites. Les seuls risques liés à l'utilisation d'une carte de crédit ne sont pas physiques. Le développement des plates-formes de paiement en ligne en font des cibles de choix. Plusieurs articles de lois précisent les obligations commerciales des vendeurs (obligation d'afficher les prix, droit de rétractation légal, etc...), mais aucune loi ne protège actuellement l'acheteur spécifiquement au moment du paiement. Le principal problème relatif au paiement en ligne réside dans la responsabilité : d'une manière générale, la plate-forme de paiement est fournie directement par la banque du revendeur. Ce dernier n'a qu'à rediriger l'acheteur sur le site de sa banque, qui procède à la transaction et renvoie l'utilisateur sur le site du vendeur une fois celle-ci confirmée. Dans ce contexte, en cas de fraude ou de tromperie, qui peut être mis en cause? Le banque, pour ne pas respecter son engagement de fournir un service sécurisé, ou alors le vendeur, qui, en travaillant avec sa banque doit assumer la responsabilité de tout incident vis à vis de son client? En dehors des attaques et fraudes directes, plusieurs techniques existent pour tenter de tromper l'utilisateur. Ici encore, la loi reste embryonnaire, et bien souvent ce sont les décisions de justice qui font jurisprudence et servent de référence. SRS Day Page 7

9 IV. CONTOURNEMENT PAR DUPLICATION: LE CARD SKIMMING 3. TECHNIQUE Le skimming, aussi appelé White Card, est pratiqué surtout dans les bars, restaurants, stations services, et hôtels. Un employé malveillant glisse la carte de paiement du client dans un boîtier électronique permettant de copier les données de celle-ci. Il restitue ensuite sa carte au client et revend la copie à un réseau de fabricants de fausses cartes de crédit. Le client ne se rendra compte de la fraude qu { la réception de son relevé bancaire. Le skimming est appliqué également dans certains cas directement sur des distributeurs automatiques. Les fraudeurs apposent sur la fente d insertion de la carte un cache contenant le matériel électronique permettant de copier le numéro à partir de la bande magnétique de celleci. Le boîtier permettant la copie se compose en fait de trois circuits. Le premier copie les données avant qu elles ne soient chiffrées par le lecteur. Le second sauvegarde ces informations et les chiffre afin qu elles ne puissent pas être lues par une source extérieur. Enfin, le troisième et dernier circuit envoie ces données à un serveur distant où elles sont récupérées et déchiffrées pour la fabrication de White Cards. Figure 4: Application d un cache La copie de la bande magnétique de la carte n étant pas suffisante { la falsification, il est nécessaire de récupérer le code secret. Pour ce faire, les fraudeurs utilisent un second cache sur le clavier qui enregistrera le code PIN tapé par l utilisateur, ou une caméra dissimulée dans le distributeur. SRS Day Page 8

10 Figure 5: Une caméra est dissimulée dans le porte-prospectus Le matériel nécessaire au skimming est très coûteux : environ 8000 pour un cache pouvant transmettre à un pc, via sms ou wifi, les informations de 1856 cartes. 4. PROTECTION La falsification d une carte bancaire nécessite de posséder deux éléments : le numéro de carte (contenu sur la bande magnétique) et le code PIN. La protection d un seul de ces deux éléments est donc suffisante pour empêcher le skimming. La protection du code PIN s avère difficile car il existe trop de moyen de le voler. En revanche, la seule façon d acquérir le numéro de carte est de le copier { partir de la bande magnétique. C est donc cet élément qu il faut protéger. La meilleure solution existant { ce jour consiste { mesurer l épaisseur des éléments du distributeur grâce à un système de laser haute-précision afin de détecter le skimmer. Le laser effectue des mesures sur le lecteur de carte en plusieurs points et stocke les mesures obtenues comme références. D autres mesures sont effectuées régulièrement et sont comparées aux mesures de référence. Si ces nouvelles mesures dépassent un certain seuil, un signal d alarme est envoyé à un module de contrôle qui envoie alors des signaux et messages de prévention alertant le personnel concerné en temps réel (par sms par exemple). L installation du laser n est pas fixe, il peut se trouver entre 0,05 et 30 mètres du distributeur de billets. De plus, son rayon d action étant assez large, il n est pas affecté par des problèmes environnementaux comme la lumière. Les fausses alertes sont donc rares et peuvent être facilement résolues. SRS Day Page 9

11 5. SENSIBILISATION La meilleure défense contre le skimming reste la sensibilisation. Il est recommandé d adopter une attitude vigilante. - Chercher un éventuel cache placé sur le lecteur de carte Les caches dissimulant le boîtier malveillant ressemblent beaucoup aux véritables lecteurs de cartes. Une façon de vérifier que le lecteur de carte n est pas recouvert d un cache est d essayer de le faire bouger avec les mains. - Cacher son code PIN Une des méthodes permettant aux fraudeurs de récupérer le code secret est de dissimuler une caméra dans le distributeur de billets. Bien cacher son code PIN lors de la composition, même en étant seul, est une bonne habitude à prendre pour se protéger du skimming. - Eviter les personnes trop serviables Une autre technique d un fraudeur pour obtenir le code PIN est de rester aux alentours du distributeur de billets et d offrir son aide { l utilisateur lorsque le distributeur présente un dysfonctionnement. Le fraudeur demande { l utilisateur de réessayer de taper son code et regarde alors par-dessus l épaule de celui-ci pour mémoriser le code. Parfois le fraudeur demande directement son code PIN { l utilisateur. - Vérifier ses comptes régulièrement En étant victime du skimming, le meilleur réflexe est de détecter la fraude le plus tôt possible afin de la reporter rapidement et d augmenter ses chances de récupérer l argent volé. Figure 6: Zones privilégiées pour le placement d'un équipement de skimming SRS Day Page 10

12 V. CONTOURNEMENT DE L'AUTHENTIFICATION: LA YESCARD Comme on a pu le constater, lors d'une transaction bancaire avec un terminal de paiement (TP), plusieurs contrôles sont effectués. Des contrôles pour vérifier à la fois la légitimité de la carte par authentification de la carte avec la valeur de signature VS d'une part. Celle de son porteur par sa connaissance du code confidentiel d'autre part. Ces deux méthodes sont réalisées de façon totalement autonome par la carte de crédit et le TP. Nous savons aussi que la troisième et dernière vérification, réalisée cette fois en ligne avec un centre de contrôle bancaire, n'est pas systématique et souvent réservée aux retraits de grosses sommes d'argents. L'authentification de la carte se fait du coté du TP, la vérification du code PIN se fait lui du coté de la carte de crédit, c'est cette particularité qui a permis l'apparition des YesCard. 1. TECHNIQUE Une YesCard, ou encore simulacre de carte bancaire, est une carte répondant toujours oui, quel que soit le code secret tapé par le titulaire. Elle est réalisée avec une carte à puce, vierge à l'origine, dans laquelle on insère un programme visant à émuler parfaitement le fonctionnement d'une carte bancaire. La seule différence est qu'elle donne systématiquement une autorisation de transfert au terminal de paiement lorsque celui-ci réalise la demande de vérification du code confidentiel. On constate aisément le point limitant de cette méthode: il reste à tromper l'authentification de la carte. Pour cela il y a deux méthodes: Cloner une carte bancaire existante et légitime. Pour cela, il suffit de calquer les méthodes des skimmeurs et récupérer les informations de la carte, pour cela, un simple lecteur de carte à puce suffit, ce genre de lecteur se trouve facilement dans le commerce même pour un particulier. Du fait que les données proviennent d'une carte valide, la valeur de signature à bien été générée avec la clef secrète du groupement des cartes bancaires (le GIE) et l'authentification se réalisera donc avec succès. Ce sera bien entendu le compte du possesseur de la carte originelle qui sera débité. Confectionner des informations de cartes bancaires factices et réussir à générer la bonne valeur de signature VS. Pour cela, il faut réussir à casser le chiffrement et découvrir la clef secrète du GIE. C'est ce qu'a réussi Serge Humpich, informaticien et électronicien français en 1998, et qui à donné le nom de "Yescard Humpich" aux cartes bancaires confectionnées par cette méthode. Ce qui peut sembler un exploit n'en était pas vraiment un. En effet la clef secrète faisait 320 bits, taille suffisante car considérée comme incassable en 1990, mais plus en Serge Humpich n'aura fait qu'utiliser des programmes de factorisation de grands nombres premiers de son époque pour parvenir à ses fins. Voici la procédure permettant de confectionner les informations d'une Yescard méthode Humpich: SRS Day Page 11

13 a. On génère aléatoirement un numéro de carte à 16 chiffres correspondant à une banque française. Elle vérifie le format de clé de Luhn. b. On choisit une date d'expiration dans le futur c. On choisit arbitrairement un nom de porteur d. On encode ces informations au format hexadécimal e. Cela donne un numéro de 48 chiffres décimaux (160 bits) appelé identifiant (Id) f. On multiplie ce chiffre par , cela donne un numéro de 96 chiffres décimaux (320 bits) g. On élève ce numéro de 96 chiffres à la puissance exposant privé modulo le produit public (ces deux chiffres ont été publiés sur Internet). Cela donne un numéro de 96 chiffres (320 bits) appelé valeur d'authentification (VA). h. On programme une carte à puce blanche pour dialoguer avec un terminal de paiement, cela ressemble à la programmation d'une carte à puce pirate pour les décodeurs de télévision satellite ou Canal +. i. On stocke alors ces 2 numéros de 48 (Id) et 96 chiffres (VA) sur la carte à puce blanche programmable. Figure 7: gezeroleebox, un des premiers logiciels de clonage de carte bancairecomme les numéros utilisés seraient mis normalement en opposition le soir, il faut changer le numéro de carte à 16 chiffres après chaque jour d'utilisation. SRS Day Page 12

14 2. PROTECTION Afin de contrer ce type d'attaque, le GIE a rajouté sur nos cartes bancaire une valeur d'authentification rallongée de 768 bits. Cette valeur d'authentification, appelée VA est le résultat d'un chiffrement RSA, entre diverses informations de la carte comme le code banque, le code pays, le code service ou encore le numéro à 16 chiffres. Grâce à cette clé de 768 bits, impossible de modifier les informations sur la carte, autrement dit impossible de modifier cette valeur d'authentification. L'authentification en ligne est également passée du DES au TripleDES. Bien entendu, cette modification des cartes bancaires a aussi impliqué la modification des lecteurs. Et si le changement des quelques distributeurs automatiques (DAB) peut sembler périlleux, c'est sans compter le million de terminaux de paiement que possèdent par ailleurs les commerçants. C'est pour cette raison que les "YesCard Humpich" sont restées valables jusqu'au premier juillet 2004, date de fin d'acceptation des cartes bancaire au format B0' (on considère qu'actuellement plus de 99% des DAB et TP ont été renouvelés). Mais comme toute méthode de chiffrement se basant sur la solidité d'une clef unique, les capacités de calculs de nos ordinateurs ne cessent d'augmenter, et nous arrivons à casser des clefs RSA de plus en plus grandes. Le dernier record dans le domaine date du 12 janvier 2010 par l'inria qui à réussi à casser une clef RSA de bits. Certes les capacités de calculs de l'inria ne sont pas à la disposition de tous et il a fallu pas moins de 2 ans et demi pour arriver au bout de cette clef, mais cela permet de se donner une idée de la pérennité de cette nouvelle protection. Figure 8: Preuve du fonctionnement des YesCard Humpich via l'achat de tickets de métro SRS Day Page 13

15 Enfin, on notera l'arrivée des spécifications EMV (EuroCard Mastercard Visa), qui ont commencé à être utilisées dès 2001 et sont toujours utilisées sur nos cartes de crédits de 2010, devant apporter plusieurs protections annihilant toute chance de retour des YesCards. On se permettra de rester dubitatif cela dit, étant donné que l'adjonction d'un processeur chargé de faire des calculs RSA dans les cartes à puce émises n'est pas obligée par cette spécification. Par conséquent, certains terminaux de paiement se contenteront de lire les informations de la puce, ce qui signifie se limiter à la méthode d'authentification statique offline comme c'était déjà le cas dans le précédent format. Avec une telle méthode d'authentification, la réalisation de YesCards par clonage d'une carte existante reste tout à fait réalisable. 3. SENSIBILISATION Les banques ont pour obligation de rembourser les pertes d'argents dues à ce type d'attaque, cependant il faut bien entendu réussir à prouver votre bonne foi, ce qui n'est pas toujours simple. Pour l'utilisateur final, tout comme il y a deux types de YesCard, il y a deux façons de se retrouver impacté: La YesCard a été façonnée de toute pièce avec un générateur de numéros de cartes valides, pas de chance, ce numéro de carte est bien attribué à une véritable carte qui n'est autre que la votre! Réjouissez vous pourtant car c'est cette situation dont il est le plus facile de se sortir. En effet si vous remarquez des transactions dont vous n'êtes pas l'auteur, il vous suffit de demander des précisions à votre banque sur cette transaction. Comme le nom du porteur est fourni lors de la transaction, celui de la YesCard sera évidemment faux et ne correspondra pas à votre identité. De plus lors d'une transaction, la carte génère un certificat de 8 octets via chiffrement DES. Or les cartes à puces utilisées lors de la confection des YesCard possèdent une puissance de calcul totalement insuffisante pour réaliser ce type de calcul, il en résultera un certificat erroné facilement vérifiable par la banque. Votre carte a été clonée, dans ce cas il va falloir réussir à prouver que ce n'est pas vous qui avez réalisé la dite transaction. Vous pouvez pour cela essayer de vous baser sur les enregistrements vidéo des DAB si jamais le retrait a été réalisé par cet intermédiaire. Mais même dans ce cas de figure, il faudra réussir à prouver que vous n'avez pas tout simplement donné votre carte et votre code confidentiel à un tiers. D'ailleurs, selon un arrêt de la Cour de cassation, "le fait que la carte ait été utilisée par un tiers avec composition du code confidentiel est, à elle seule, non susceptible de constituer la preuve d'une faute lourde". Autant dire qu'espérer obtenir un remboursement est souvent perdu d'avance. On recense encore des cas de ce genre dans la presse en Il n'existe malheureusement pas de méthode miracle pour éviter de se faire cloner sa carte, à part rester suspicieux lorsqu'on ne vous laisse pas placer vous même la carte dans le terminal de paiement. Mais même dans ce cas de figure, nous sommes arrivés à des degrés de miniaturisation tels qu'il est désormais possible d'avoir des terminaux de paiement ou distributeurs automatiques semblant parfaitement intact, mais disposant d'un clavier trafiqué retenant le code pin, d'un dispositif de copie du contenu de votre carte entièrement dissimulé dans la fente, le tout accompagné d'une puce GSM envoyant vos précieuses informations bancaires dans un serveur caché au Pakistan. SRS Day Page 14

16 VI. VOL D'IDENTITE: PEUR JUSTIFIEE DU PAIEMENT EN LIGNE Le paiement en ligne a explosé ces 5 dernières années, il est désormais possible de vivre sans manquer de rien sans jamais sortir de chez soi: alimentation, mobilier, cosmétique, divertissement... tout est disponible et payable en ligne. Pourtant le paiement en ligne classique possède une particularité inquiétante: le code PIN n'est pas demandé, seul les informations marquées clairement sur la carte bancaire le sont, plus d'authentification forte! Nous verrons dans cette partie les menaces potentielles et comment s'en protéger. 1. TECHNIQUE Du fait de l'absence de la demande du code PIN, un simple vol de votre carte de crédit peut suffire pour que le malfrat commande en ligne à vos frais, il n'y a pas vraiment besoin d'explication dans ce cas de figure, nous nous concentrerons donc sur une deuxième méthode: le vol de vos informations bancaires lorsque vous les utilisez. Il y a 3 endroits où vos informations bancaires peuvent être capturées: Directement sur votre ordinateur: Ceci se réalise avec ce qu'on appelle un Trojan, ou Cheval de Troie. Installé à votre insu sur votre ordinateur, ces programmes n'ont qu'un seul but: espionner ce que vous faites et transmettre les informations à la personne ayant commandité son installation. Cela peut aller d un simple enregistrement de tout ce que vous tapez sur votre clavier à des captures d'écran régulières, le tout envoyé le plus souvent par mail au responsable du Trojan. Entre votre ordinateur et le serveur: De base, les communications entre votre ordinateur et les sites distants avec lesquels vous communiquez ne sont absolument pas protégées. N'importe quelle personne située sur le même réseau que vous, avec les outils adéquats à l'analyse des flux IP, peut en clair regarder les informations qui transitent. Il suffit donc au fraudeur d'analyser les paquets échangés entre votre ordinateur et d'y retrouver les informations l'intéressant. Sans forcément se concentrer uniquement sur les informations bancaires, on peut par exemple s'intéresser à Firesheep, petit plugin Firefox disponible au téléchargement pour tous permettant à n'importe quel quidam de réaliser du sidejacking, autrement dit le vol de vos sessions sur un large panel de sites populaires tels que Facebook, Twitter ou Amazon. Il lui faut simplement avoir lancé le plugin en écoute sur le réseau ou vous vous trouvez et attendre que vous vous authentifiez sur les dits-sites. Quand on sait qu'amazon enregistre vos informations bancaire pour vous éviter d'avoir à les taper à chaque fois que vous commandez chez eux, cela laisse songeur. Directement sur le serveur: Dans ce cas, soit le responsable du serveur est lui même la personne malveillante, mais nous traiterons ce cas plus général dans la section suivante de ce rapport, soit le site est vulnérable et se retrouve attaqué par un tiers. Ce cas de figure est cependant assez minime dans le cas des informations bancaires, il en effet anormal que le site marchand conserve vos informations bancaire, ou même ne les vois transiter en clair à un moment (Amazon est un cas particulier bénéficiant de sa notoriété). SRS Day Page 15

17 2. PROTECTION Comme nous avons pu le constater, le problème majeur est la possibilité pour l'attaquant de réutiliser les informations communiquées pour faire un autre paiement, on peut faire une analogie avec les "attaques par rejeu" (replay attack), très utilisées dans les man-in-the-middle de vol d'information d'authentification. Rajouter la demande du Code PIN ne serait ici d'aucune aide, en effet rien n'empêcherait la personne malveillante de le voler dans la foulée. Reprenons donc la méthode utilisée le plus souvent pour le contrer: l'utilisation des One-Time-Passwords (OTP), ou mot de passe à usage unique. Comme son nom l'indique, un OTP est un mot de passe ne pouvant être utilisé qu'une fois. Nous ne détaillerons pas les principes algorithmiques derrière cette méthode, sachez juste que le partage d'un secret entre le générateur d'otp et la banque permet à celle ci de s'assurer que l'otp provient bien de vous et qu'il n'a pas déjà été utilisé. La seule façon pour un pirate d'utiliser vos informations bancaires est donc de voler la source de ces OTP en plus des informations de votre compte. Très souvent le générateur est un objet électronique physique (appelé token), ou un programme utilisé de préférence sur un autre terminal que celui effectuant le paiement (par exemple votre smartphone), ce qui évite que la compromission de votre ordinateur ne ruine l'efficacité de l'otp. Figure 9: Carte de crédit nouvelle génération, contenant un générateur d'otp protégé par code PIN Une variante plus courante dans les banques françaises pour le particulier est l'utilisation d'informations de cartes bancaires jetables. C'est un moyen de paiement rattaché à votre carte bancaire permettant de payer sans donner son numéro de carte. Ces "e-numéros" sont valables temporairement, soit par rapport à une contrainte de temps, soit au nombre d'utilisations. Ils sont la plupart du temps utilisables qu'une fois. On retrouve deux types de numéros jetables en France: l'e-carte bleue disponibles à la Société générale, Banque Postale, LCL, Banque Populaire, Caisse d Epargne ou encore Axa banque; et Virtualis, service offert par le Crédit Mutuel. SRS Day Page 16

18 En plus de ces méthodes généralistes, il existe des moyens de contrer chaque attaque spécifique: Directement sur votre ordinateur: Ici les mêmes règles que pour tout vol d'information s'applique, à savoir utiliser un ordinateur de confiance (éviter les cybercafés ou l'ordinateur d'un tiers) et se protéger des attaques malwares avec une solution logicielle adaptée. Entre votre ordinateur et le serveur: C'est cette fois-ci dans le réseau local ou vous vous situez qu'il faut avoir confiance. Par conséquent éviter au maximum l'utilisation de Wifi non sécurisés (voir: Rogue AccessPoint) ou disponible à un large panel de personnes (Wifi de restaurant, d'université, etc...). Une autre protection, disponible dans l'extrême majorité des paiements en ligne, est le chiffrement de la connexion. Pour cela on utilise le protocole de chiffrement SSL/TLS. Enfin, l'utilisation de solutions VPN (réseau privé virtuels) peut aussi permettre d'éviter une écoute de ses communications réseau. Figure 10: Capture d identifiant/pass d'un site non protégé par Wireshark, célèbre outil d'analyse réseau Directement sur le serveur: Ici il n'y a pas de méthode miracle, il y a deux types de paiement en ligne. Ceux dont la transaction se fait via redirection sur un site bancaire. Il est majoritairement utilisé pour les petites e-boutiques. En effet, bien que les banques prennent une commission plus importante en offrant ce type de service, cela permet au vendeur de totalement se décharger des problématiques de sécurité des transactions bancaires, aucune des informations bancaire ne transite sur son serveur, seule la banque lui confirme si le paiement s'est bien déroulé ou non à la fin de la transaction. Ceux dont la transaction se fait chez eux. Principalement utilisé par les grands noms de la vente en ligne tel qu'amazon, ceux-ci se sont dotés d'un Terminal de Paiement Electronique (TPE) personnel. Plus économique pour eux du fait du très grand volume de transactions qu'ils reçoivent, ils ont pour mission de s'assurer de la confidentialité de vos données. Seule la confiance en leur service permet de se rassurer. SRS Day Page 17

19 3. SENSIBILISATION Concernant le vol de votre carte, inutile de préciser qu'il est important d'appeler votre banque et de faire opposition le plus vite possible. Pour ce qui est du chiffrement de votre communication avec le serveur distant lors de votre transaction bancaire, il est facile de s'assurer de sa présence. En effet dans la totalité des navigateurs grands publics, elle est symbolisée par l'affichage d'un cadenas à gauche de l'adresse, et de " au lieu de " dans l'adresse. Figure 11: Mise en évidence d'une connexion SSL sur Google Chrome, Firefox, Safari et Internet Explorer 7 Evitez de réaliser vos commandes en ligne autre part que sur votre ordinateur personnel, et sur des réseaux de confiance. Préférez les géants de la vente en ligne aux e-boutiques sur des sites peu connus. Dans le cas de doute sur la légitimité d'un site commerçant, vérifiez si celui-ci vous permet de réaliser votre paiement par tiers de confiance tel que Paypal ou Google Checkout. Ces services permettant de relayer la transaction bancaire par leurs propres comptes, cela vous évite de taper votre numéro de carte et vous permet de bloquer l'utilisation de ce compte intermédiaire à tout moment sans avoir à changer de carte bancaire et supporter toutes les complications administratives que cela entrainerait. SRS Day Page 18

20 VII. TROMPER L'UTILISATEUR: PHISHING, PHARMING ET SCAMS 1. TECHNIQUE La technique la plus répandue pour tromper l'utilisateur est celle dite du phishing (ou hameçonnage). Cette pratique consiste à récupérer, d'une manière ou d'une autre des données personnelles (comme par exemple des données bancaires ou des mots de passe). Le plus souvent, il s'agit d'une escroquerie basée sur la contrefaçon d'un site internet : en se faisant passer pour un site de confiance (le site d'une banque, ou d'un commerçant), on pousse l'utilisateur à fournir les informations recherchées. Une autre approche, appelée pharming, consiste à rediriger l'internaute vers un site frauduleux à son insu : ainsi, on peut attirer la victime vers un site web présentant exactement le même aspect graphique qu'un site de confiance tout en gardant le même nom de domaine. Afin de bien comprendre le mode de fonctionnement du pharming, il est nécessaire de comprendre comment fonctionne la résolution DNS, c'est à dire de quelle manière un internaute accède à un serveur web en tapant sur adresse dans la barre d'url. Le DNS (Domain Name System) a été mis en place afin de faciliter l'accès aux ressources internet, en établissant une correspondance entre un nom de domaine et une adresse IP. Organisé en hiérarchie, le DNS est composé de domaines et sous-domaines qui contiennent des informations sur les serveurs qu'ils recensent. Ainsi, lorsqu'on entre une adresse internet, le nom de domaine est résolu en interrogeant successivement les domaines composant la hiérarchie. Figure 12: Résolution DNS de srs.epita.fr SRS Day Page 19

21 Les pirates disposent de plusieurs modes d'attaques, parmi lesquels : 1. La modification du cache DNS de l'internaute : en effet, afin d'accélérer les requêtes, la plupart des navigateurs web stockent les résolutions de noms de domaine dans un cache interne. Lorsqu'une requête similaire est renvoyée, le navigateur se contente de renvoyer l'ancienne réponse plutôt que de résoudre à nouveau le DNS. La vulnérabilité des ordinateurs personnels étant ce qu'elle est, il est souvent très facile de modifier ce cache, par un virus ou un cheval de Troie par exemple. 2. Afin de cibler un public plus large, il est possible d'attaquer directement les serveurs DNS des FAI, en y insérant un enregistrement falsifié. Plus difficile à mettre en œuvre, du fait de la protection accrue de ces serveurs, cette technique est très efficace : une fois l'enregistrement frauduleux enregistré, tous les abonnés du FAI concernés seront redirigés vers le site contrefait. 3. La technique la plus dangereuse consiste cette fois à attaquer directement le serveur DNS autoritaire du nom de domaine ciblé. Chaque internaute désirant accéder au site sera ainsi redirigé vers le site contrefait. Figure 13: Résolution DNS standard SRS Day Page 20

22 Figure 14: Résolution DNS avec un serveur compromis 2. PROTECTION Certaines mesures techniques destinées à la protection contre le phishing existent. Certaines peuvent être déployées par les éditeurs de sites web pour permettre à l'utilisateur de s'assurer qu'il est bien sûr le bon site, alors que d'autres peuvent être installées par l'utilisateur lui-même. Ainsi, il est possible pour les éditeurs de mettre en place des certificats signés numériquement par des autorités de confiance. L'apparition d'un symbole dans la plupart des navigateurs et la lecture des détails du certificat permettent à l'utilisateur de s'assurer qu'il est bien sur le bon site : en effet, même si le serveur DNS est compromis et l'utilisateur redirigé vers un site contrefait en apparence identique, le certificat sera invalidé et l'utilisateur saura immédiatement qu'il a été trompé. Figure 15: Alerte Internet Explorer SRS Day Page 21

23 De plus, de nombreux navigateurs internet proposent des outils de vérification d'url et référencent les sites considérés comme dangereux. La bonne configuration et l'utilisation de ces outils simples permettent de se prémunir contre de nombreuses tentatives de phishing. Par exemple, sous Internet Explorer 8, l'url est grisé et seul le nom de domaine est laissé en noir. La vérification de domaine est donc simplifiée. Figure 16: Avertissement de sécurité sous Firefox 3. SENSIBILISATION Bien que quelques mesures techniques existent, l'intervention de l'utilisateur est pratiquement indispensable pour assurer sa sécurité. Le meilleur moyen de se protéger contre le phishing est donc de sensibiliser la population afin de la rendre moins vulnérable à ces attaques. Plusieurs techniques sont ainsi enseignées, parmi lesquelles : La vérification d'url dans les mails : il est en effet très facile de cacher un lien sous un autre dans un mail «commercial». Ainsi, en cliquant sur un lien en apparence sûr et valide, une page frauduleuse est en fait chargée. Lecture critique : il est bien souvent facile de repérer un mail ou un site web frauduleux en ayant un œil critique sur sa forme. Les principaux symptômes sont des fautes orthographiques et/ou grammaticales grossières, des erreurs sur les accents (en raison de problèmes d'encodage), par exemple. Vérification de l'expéditeur : même s'il est facile de cacher un lien dans un mail, il est plus difficile de masquer la réelle identité de l'expéditeur. En vérifiant l'identité de celui-ci, et notamment le nom de domaine utilisé dans l'adress , on peut souvent s'apercevoir de la supercherie. SRS Day Page 22

24 Utilisation des logiciels de protection : Comme expliquées précédemment, des solutions techniques existent pour se protéger contre le phishing. Certains antivirus proposent également des vérifications systématiques des mails et pages internet, et des logiciels dédiés commencent à apparaître. Mais ces solutions sont inefficaces si les utilisateurs ignorent leurs existences, leurs fonctionnements, et leurs utilités. Le principal danger du phishing réside dans le manque de formation du public qu'il vise : l'adage «un homme averti en vaut deux» prend dans ce cas toute son ampleur : en sensibilisant la population, c'est-à-dire en lui présentant l'existence de cette méthode, les risques qui y sont liés et les techniques pour s'en protéger, elle perd une grande partie de sa dangerosité. Malheureusement, les internautes sont encore trop peu informés, et ne connaissant ni ne maîtrisant ces outils, sont des proies faciles et vulnérables pour les adeptes de l'escroquerie par hameçonnage. SRS Day Page 23

25 VIII. UNE ATTAQUE ATYPIQUE : PIRATAGE DU DAB Initialement prévue pour la Black Hat 2009, la présentation de Barnaby Jack intitulée : «Jackpotting Automated Teller Machines» fut repoussée sous ordre de Juniper. Juniper étant l'employeur de Barnaby en 2009, cette dernière a subi des pressions de la part des fabricants de DAB estimant qu'ils ne disposaient pas de suffisamment de temps pour corriger les failles avant leurs révélations au grand public. Cette conférence a finalement eu lieu lors de la Black Hat 2010 de Las Vegas après que Barnaby soit devenu directeur de la recherche en sécurité chez IOActive. Loin d'être une présentation visant à donner toutes les clefs pour pirater un distributeur de billets, Barnaby Jack tenait à attirer l'attention sur la faillibilité d'un système considéré comme sécurisé par le grand public. 1. REVERSE ENGINEERING SUR BORNE ATM Les bornes actuelles sont équipées de processeur ARM/XSCALE et fonctionnent avec Windows CE. Avant de pouvoir développer des Malwares pour distributeur, il est nécessaire d'avoir un accès administrateur sur la machine afin de pouvoir effectuer des actions de reverseengineering. Les DAB démarrent automatiquement sur une application propriétaire, ce qui ne laisse aucun moyen à l'utilisateur d'accéder au système de fichiers du distributeur ou de brancher un clavier directement sur la carte mère. Une des premières choses à faire est donc de trouver un moyen de rajouter l'explorateur Windows dans la liste de démarrage afin d'obtenir un accès direct au cœur du système d'exploitation. Le noyau Windows CE exécute FILESYS.exe au démarrage de la machine. FILESYS.exe va ensuite initialiser les registres et le système de fichiers, puis lancer les applications listées dans HKLM\Init. La solution à ce problème est le branchement d'une carte JTAG 1 sur la carte mère pour ensuite pouvoir injecter «explorer.exe». L'injection consiste à placer un Breakpoint sur la fonction CreateProcess() se trouvant dans l'espace d'adressage de FILESYS.EXE; puis de remplacer la chaine de caractères correspondant à l'exécutable initialement prévu, par la chaine de caractères «explorer.exe». Une fois la séquence de démarrage terminée, l'attaquant dispose de l'explorateur Windows et peut : - Brancher une clef USB ou un clavier - Récupérer n'importe quel fichier pour une analyse plus poussée - Créer un environnement de debug plus agréable pour tester le développement des malwares sur le distributeur. 1 La norme JTAG est utilisée pour remplacer les émulateurs de microprocesseurs (systèmes de debug sur carte remplaçant physiquement le composant), en donnant un accès direct à l'intérieur du processeur (points d'arrêt, lecture et écriture des registres internes, des mémoires internes et externes ) sans perturber ses interactions avec l'extérieur. SRS Day Page 24

26 Figure 17: Carte JTAG connectée à la carte mère 2. ATTAQUE MATERIELLE Il faut savoir que malgré les moyens de protection mis en place pour sécuriser l'argent lui-même (coffre blindé, cartouche de peinture explosive pour marquer les billets...), le manque de sécurité concernant l'accès à la carte mère est évident. Cette dernière est simplement protégée par une petite serrure de type Bezel. Barnaby précise qu'il est possible de récupérer un passe-partout pour ce type de serrure sur des sites de ventes en ligne comme ebay. Ce passe-partout permet d'avoir accès à la carte mère et d'y brancher une clef USB contenant les fichiers nécessaires à la corruption de la machine. Les distributeurs vérifient automatiquement la présence de firmware sur les périphériques externes et se mettent à jour automatiquement. Il est donc relativement simple pour un attaquant de créer un firmware personnalisé à partir de l'original et de remplacer celui de la borne ciblée. Ce type d'attaque est bien plus rapide que d'installer un dispositif de skimming. Lors de sa démonstration, Barnaby branche sa clef USB et referme le distributeur en moins de 10 secondes. Le firmware original est ensuite écrasé et le distributeur vide entièrement son coffre. Figure 18: Serrure de type Bezel SRS Day Page 25

27 3. ATTAQUE A DISTANCE Les distributeurs ATM autorisent l'administration de leurs systèmes à distance, ce qui permet à la maintenance de changer les fonds d'écran, de récupérer les statistiques du distributeur, mais aussi de mettre à jour le firmware. Il faut savoir que l'administration à distance est activée par défaut. Le premier programme présenté par Barnaby Jack se nomme Dillinger. Il exploite une vulnérabilité dans le système d'authentification de l'administration à distance. Cette attaque est efficace à 100% et permet d'accéder au distributeur branché sur un réseau local ou sur le réseau téléphonique. Dillinger permet l'administration d'un nombre illimité de distributeurs. Il vérifie la présence de la vulnérabilité dans le système d'authentification et peut ensuite : - Récupérer les informations du distributeur (nom du magasin, mot de passe administrateur, etc.) - Uploader un rootkit nommé Scrooge sur le distributeur - Récupérer les données des cartes de crédit - Déclencher le mode jackpot qui vide entièrement le distributeur. Scrooge est un rootkit développé spécialement pour les DAB fonctionnant avec un processeur ARM/XSCALE, il est invisible sur la machine et permet l'activation de menus cachés par pression d'une série de touches ou l'insertion d'une carte de crédit spéciale. Scrooge récupère aussi les données de toutes les pistes magnétiques des cartes insérées dans le lecteur ainsi que les codes pin correspondant. Ces informations sont ensuite accessibles via Dillinger. 4. MOYEN DE PROTECTION À la suite de cette présentation, Barnaby Jack conseille différents moyens de protection concernant les deux types d'attaques Pour l'attaque physique, il est évident qu'il faut renforcer la sécurité des serrures permettant l'accès a la carte mère et d'installer une serrure unique par distributeur afin de restreindre l'accès avec une clef passe-partout. Il est ensuite nécessaire d'implémenter les fonctionnalités «Trusted environment» de Windows CE pour pouvoir vérifier les signatures des exécutables au niveau du noyau afin de limiter l'exécution d'application tierce. Concernant l'attaque à distance, il serait bon de désactiver l'administration à distance dans un premier temps. Dans un deuxième temps, il est nécessaire de mettre en place des vérifications de code régulières et des batteries de tests de type Black-Box afin de surveiller le comportement des distributeurs lors d'une connexion à distance. SRS Day Page 26

28 IX. CARTES DE CREDIT NOUVELLES GENERATION : FORMAT EMV 1. INTRODUCTION EMV (Europay Mastercard Visa) est le protocole actuel de communication entre la carte bancaire et le terminal de paiement. Il succède au protocole B0 développé par BULL. À la différence de ce dernier, il est possible de modifier les données contenues sur la puce par la banque. Par exemple, il est possible de changer dynamiquement les montants maximums autorisés des transactions. Les raisons de la migration sont: - volonté d une plus grande sécurité (les coûts induits par les fraudes, lecteur ou terminal, étant pris en charge par les banques). - Volonté de normalisation des systèmes de paiements internationaux. 2. FONCTIONNEMENT GENERAL Le protocole EMV est assez similaire dans son fonctionnement au protocole B0 dans la mesure où il possède les trois mêmes phases : authentification de la carte, du porteur de la carte et autorisation de la transaction. Les spécifications de EMV sont basées sur la norme ISO/IEC 7816 et doivent être lues conjointement avec la norme ISO. Cependant, les définitions d EMV ne sont pas toutes identiques { celles d ISO. Dans ces cas, les définitions EMV prévalent. Ces spécifications doivent être suivies par les fabricants de terminaux de paiement, de carte bancaire, des systèmes de paiement et des institutions financières qui implantent des applications financières sur circuits intégrés. Lorsque l on insère une carte bancaire dans un terminal de paiement, celui-ci récupère le fichier 1PAY.SYS.DDF01 qui contient l ensemble des applications autorisées par la carte. C est ainsi qu une carte bancaire sans autorisation de découvert se voit systématiquement refusée de paiement au péage d une autoroute ou encore { la sortie d un parking même si le compte est suffisamment approvisionné. Une fois cette étape réalisée, le terminal sélectionne l application lui permettant de lire des valeurs de la carte pour procéder à son authentification. Le protocole EMV définit trois modes d authentification de la carte: - Static Data Authentication (SDA) Cette méthode d authentification de la carte consiste { vérifier une donnée signée mise dans carte lors de sa création. - Dynamic Data Authentication (DDA) En plus d une authentification statique, le terminal vérifie que la carte possède un secret fourni par la banque émettrice de la carte. - Combined Data Authentication (CDA) Ce système est une variante du DDA qui assure que la carte utilisée pour la transaction est la même que celle utilisée pour l authentification par le lecteur. SRS Day Page 27

29 Une fois l authentification de la carte faite, on procède comme avec le système B0 { l authentification du porteur grâce { un code PIN puis { l autorisation de la transaction auprès de la banque. 3. AUTHENTIFICATION a. STATIC DATA AUTHENTICATION (SDA) Personnification de la carte Pendant la phase de personnalisation, la carte reçoit les informations suivantes : - Le nom du porteur, le numéro de la carte, la date limite de validité qu on notera Informations - Une valeur d authentification notée VA qui n est autre que la signature RSA d informations générée avec la clé privée de l émetteur (VA = Sig E priv(information)) - Le certificat de l émetteur (E cert ) contenant sa clé publique signée par une autorité de certification - Le code PIN transmis au porteur de la carte. Authentification de la carte Pour authentifier la carte, le terminal récupère trois informations : le certificat Ecert de la banque émettrice, la valeur d authentification VA ainsi qu Informations. Il vérifie ensuite Ecert avec la clé publique de l autorité de certification CA pub et VA avec la clé publique de la banque émettrice. Le terminal demande alors le code PIN { l utilisateur et le transmet en clair { la carte. Limite de l authentification par SDA Le système d authentification SDA ne permet pas de se protéger du «yescarding» puisqu il est possible de faire valider une carte contrefaite par «rejeu». En effet, en interceptant les données envoyées par une carte originale, on peut créer de toutes pièces une carte contrefaite qui renverra ces mêmes données lors de la phase d authentification de la carte. Pour obtenir ces informations, il suffit de se prémunir d un lecteur de carte pour un coût d une dizaine d euros. On passera alors à la phase «authentification du porteur». Pour cette étape, il s agit de la carte qui répond elle-même si oui ou non le code entré est valide. Il suffira alors de créer une carte répondant oui pour n importe quel code dans laquelle on injectera les données obtenues avec un lecteur de carte et une carte originale pour obtenir une yescard. Cette faiblesse est la principale raison de l existence de l authentification DDA. b. DYNAMIC DATA AUTHENTICATION (DDA) Personnification de la carte Pendant la phase de personnalisation, la carte reçoit les informations suivantes: - Le nom du porteur, le numéro de la carte ou encore la date limite de validité de celle-ci (notés Informations). - Une paire de clés RSA (C pub, C priv ) - Un certificat (C cert ) contenant C pub signée par l émetteur SRS Day Page 28

30 - Le certificat de l émetteur (E cert ) contenant sa clé publique E pub signée par une autorité de certification, - le code PIN transmis au porteur de cette carte. Authentification de la carte L authentification s opère comme suit : 1. Le terminal demande à la carte de lui fournir le certificat E cert de la banque émettrice, et son certificat C cert. 2. Le terminal génère une valeur aléatoire T alea et l envoie { la carte. 3. La carte génère une valeur aléatoire C alea. 4. La carte signe T alea et C alea avec sa clé privée C priv et renvoie le résultat de la signature et C alea au terminal. 5. Le terminal vérifie E cert avec CA pub et vérifie C cert avec E pub. 6. Le terminal vérifie la signature des aléas avec C pub. Ensuite le terminal demande le code PIN { l utilisateur, mais contrairement { SDA, l envoie du code PIN à la carte pour vérification se fait de façon chiffrée. Protection face au yescarding Avec l authentification SDA, les données envoyées par la carte au terminal de paiement étaient toujours les mêmes. Aussi ils suffisait d obtenir une fois ces données et de les injecter dans une carte pour déjouer l authentification de la carte. Avec l authentification DDA, les données envoyées par la carte sont fonction d un nombre aléatoire choisi par le terminal. Par conséquent, on ne peut plus renvoyer les mêmes données pour s authentifier il faut être en mesure de les calculer. Pour calculer ces données, il est impératif de connaitre la clé privée de la banque émettrice. On ne peut donc plus déjouer l authentification de la carte qui a lieu avant de demander le code PIN de l utilisateur et donc fabriquer des yescards. Figure 19: Création d'une carte SDA à gauche et DDA à droite SRS Day Page 29

31 4. GESTION DES TRANSACTIONS La transaction est finalisée en ligne ou hors-ligne. Ce choix est fait selon une politique de gestion de risque soit par le terminal, soit par la carte. Par exemple, une carte bancaire n acceptant pas les découverts obligera à finaliser la transaction en ligne pour éviter de réaliser un achat qui ne pourrait être assuré. Parmi les différentes politiques qui définissent quand la transaction se fait en ligne on trouve : - Sélection aléatoire - Validation en ligne pour n validations hors ligne - En fonction du montant de la transaction - En fonction du montant cumulé des transactions déjà effectuées hors ligne - Un plancher fixé par le marchand. a. FONCTIONNEMENT HORS LIGNE ET EN LIGNE Pour la transaction, une clé secrète 3DES est utilisée. Celle-ci est unique pour chaque transaction. Elle est dérivée d un compteur incrémenté { chaque transaction et d une clé maitre contenue dans la carte, elle-même générée { partir d une clé maître de la banque et d information bancaire. Figure 20: Signature 3DES b. FONCTIONNEMENT HORS LIGNE UNIQUEMENT Le terminal envoie à la carte les détails de la transaction. Elle produit alors un certificat de transaction en signant { l aide de l algorithme DES CBC-MAC avec la clé généré (C trans ). Le terminal mémorise alors ce certificat de transaction pour validation ultérieure auprès de la banque. SRS Day Page 30

32 X. EMV RESTE FAILLIBLE: LE PIN AUTHENTICATION SPOOFING Mis en place depuis maintenant plus de 5 ans, le format EMV est désormais la règle en termes de carte de crédit. Pas seulement en France, mais dans toute l'europe et bientôt aux États-Unis. Amenées à la hâte sur le marché suite aux exploitations des faiblesses du format B0', les spécifications EMV étaient déjà très critiquées et déclarées obsolètes dès Pourtant, plus un framework qu'un réel format de carte bancaire, elles offrent un large choix de combinaison méthodes d'authentification et de chiffrement, ce qui pourrait faire penser à une grande évolutivité du modèle afin de contrer d'éventuelles failles découvertes. Il n'en est rien, en effet des chercheurs de l'université de Cambridge ont publié { l «IEEE Security and Privacy Symposium» de 2010 l'analyse d'une faille logique dans la méthode d'authentification de nos nouvelles cartes de crédit. 1. TECHNIQUE Lors d'une transaction classique, le client entre son code PIN dans le terminal de paiement, le terminal envoie le PIN à la carte afin qu'elle vérifie sa validité. La carte envoie le résultat au terminal, qui continue la transaction si le code PIN était le bon. Nous avons avant cela une authentification de la carte, faite de façon statique (offline) ou dynamique (en connexion avec la banque), et enfin à la fin de la transaction la production d'une signature. Le principe de l'attaque est un man-in-the-middle trompant la carte et le TP. On a besoin pour cela: 1. d'une carte légitime volée dont nous n'avons pas besoin de connaitre le code PIN 2. D'une carte à puce programmable vierge. Cette carte doit posséder de fins câbles intégrés dans la carte permettant de l'interfacer avec une puce FPGA. 3. D'une puce FPGA, permettant de piloter la carte factice et de faire interface entre la puce et l'ordinateur, relié à la puce par un port série 4. D'un ordinateur responsable du man-in-the-middle. Il suffit d un simple script en python renvoyant toutes les données reçues par la carte factice à la véritable carte à l'exception de la demande de code PIN auquel il répond directement 5. D'un lecteur de carte, permettant de communiquer avec la véritable carte bancaire Figure 21: Coeur du man-in-the-middle SRS Day Page 31

33 Figure 22: Matériel nécessaire au PIN spoofing Bien que tout cet attirail semble compliqué à cacher à un vendeur lors de la fraude, il n'en est rien. En effet, la présence du PC est la uniquement pour des raisons de confort, une puce FPGA programmée pour parser les données de la carte factice et répondre d'elle-même lors de la demande de code PIN serait tout à fait possible et réduirait considérablement la taille du dispositif, qui pourrait alors être intégralement caché dans la manche du fraudeur. Pire, connaissant les prouesses de miniaturisation réalisées par les skimmeurs dans les lecteurs de carte des distributeurs, on peut aisément imaginer une carte à puce programmable contenant un microcontrôleur se chargeant l'intégralité du mécanisme de man in the middle. Ce genre d'équipement a déjà été réalisé pour la création de cartes SIM se chargeant de débloquer votre téléphone. Figure 23: Détail du «Chip & PIN protocol» SRS Day Page 32