Contourner le code PIN MasterCard

Des chercheurs en cybersécurité ont révélé une nouvelle attaque qui pourrait permettre à des criminels de tromper un terminal de point de vente pour qu’il effectue des transactions avec la carte sans contact Mastercard d’une victime tout en pensant qu’il s’agit d’une carte Visa.

La recherche, publiée par un groupe d’universitaires de l’ETH Zurich, s’appuie sur une étude détaillée en septembre dernier qui s’est penchée sur une attaque de contournement de code PIN, permettant aux mauvais acteurs de tirer parti de la carte de crédit Visa EMV volée ou perdue d’une victime pour créer une valeur élevée. les achats sans connaître le code PIN de la carte, et même tromper le terminal en acceptant des transactions par carte hors ligne non authentiques.

“Il ne s’agit pas simplement d’un mélange de marques de cartes, mais cela a des conséquences critiques”, ont déclaré les chercheurs David Basin, Ralf Sasse et Jorge Toro. “Par exemple, les criminels peuvent l’utiliser en combinaison avec l’attaque précédente contre Visa pour contourner également le code PIN des cartes Mastercard. Les cartes de cette marque étaient auparavant présumées protégées par code PIN.”

auditeur de mot de passe

Suite à une divulgation responsable, ETH Zurich les chercheurs ont dit Mastercard a mis en place des mécanismes de défense au niveau du réseau pour contrecarrer de telles attaques. Les résultats seront présentés au 30e Symposium sur la sécurité USENIX en août plus tard cette année.

Une attaque de mélange de marques de cartes

Tout comme l’attaque précédente impliquant des cartes Visa, les dernières recherches exploitent également des vulnérabilités «sérieuses» dans le protocole sans contact EMV largement utilisé, mais cette fois la cible est une carte Mastercard.

À un niveau élevé, cela est réalisé à l’aide d’une application Android qui implémente une attaque de type man-in-the-middle (MitM) au sommet d’une architecture d’attaque de relais, permettant ainsi à l’application non seulement d’initier des messages entre les deux extrémités – le terminal et le carte – mais aussi pour intercepter et manipuler les communications NFC (ou Wi-Fi) pour introduire de manière malveillante une discordance entre la marque de la carte et le réseau de paiement.

En d’autres termes, si la carte émise est de marque Visa ou Mastercard, la demande d’autorisation nécessaire pour faciliter les transactions EMV est acheminée vers le réseau de paiement respectif. Le terminal de paiement reconnaît la marque en combinant ce qu’on appelle un numéro de compte principal (PAN, également appelé numéro de carte) et un identifiant d’application (AIDE) qui identifie de manière unique le type de carte (par exemple, Mastercard Maestro ou Visa Electron), et utilise ensuite cette dernière pour activer un noyau spécifique pour la transaction.

Un noyau EMV est un ensemble de fonctions qui fournit toute la logique de traitement et les données nécessaires pour effectuer une transaction avec contact EMV ou sans contact.

L’attaque, surnommée “mélange de marque de carte, “profite du fait que ces AID ne sont pas authentifiés auprès du terminal de paiement, permettant ainsi de tromper un terminal en activant un noyau défectueux, et par extension, la banque qui traite les paiements pour le compte du commerçant, d’accepter le sans contact transactions avec un PAN et un AID qui indiquent différentes marques de cartes.

“L’attaquant effectue alors simultanément une transaction Visa avec le terminal et une transaction Mastercard avec la carte”, ont souligné les chercheurs.

L’attaque, cependant, nécessite qu’elle remplisse un certain nombre de conditions préalables pour réussir. Notamment, les malfaiteurs doivent avoir accès à la carte de la victime, en plus de pouvoir modifier les commandes du terminal et les réponses de la carte avant de les délivrer au destinataire correspondant. Ce qu’il ne nécessite pas, c’est la nécessité d’avoir des privilèges root ou d’exploiter les failles d’Android afin d’utiliser l’application de preuve de concept (PoC).

Mais les chercheurs notent qu’une deuxième lacune du protocole sans contact EMV pourrait permettre à un attaquant de «construire toutes les réponses nécessaires spécifiées par le protocole Visa à partir de celles obtenues à partir d’une carte non-Visa, y compris les preuves cryptographiques nécessaires à l’émetteur de la carte pour autoriser la transaction. . “

Mastercard ajoute des contre-mesures

En utilisant l’application PoC Android, les chercheurs de l’ETH Zurich ont déclaré qu’ils étaient en mesure de contourner la vérification du code PIN pour les transactions avec des cartes de crédit et de débit Mastercard, y compris deux cartes de débit Maestro et deux cartes de crédit Mastercard, toutes émises par des banques différentes, l’une des transactions dépassant 400 $.

En réponse aux résultats, Mastercard a ajouté un certain nombre de contre-mesures, notamment en obligeant les institutions financières à inclure l’AID dans les données d’autorisation, permettant aux émetteurs de cartes de vérifier l’AID par rapport au PAN.

De plus, le réseau de paiement a déployé des contrôles pour d’autres points de données présents dans la demande d’autorisation qui pourraient être utilisés pour identifier une attaque de ce type, refusant ainsi une transaction frauduleuse dès le départ.



Leave a Reply