La fonctionnalité de paiement sans contact des cartes Visa présente une faille de sécurité.

Une brèche de sécurité commune à l’ensemble des cartes Visa vient d’être identifiée par des chercheurs en cybersécurité de l’École polytechnique fédérale de Zurich. Cette faille en question se situe au niveau du paiement sans contact. Une fonctionnalité qui est pourtant protégée puisqu’en cas de paiement d’un montant important, l’utilisateur de la carte doit s’authentifier de plusieurs manières ; code de sécurité, reconnaissance digitale ou faciale via son smartphone. Or, c’est justement ce système d’authentification mis en place pour sécuriser les paiements qui semble poreux.

Les chercheurs de l’ETH Zurich sont en effet parvenus à réaliser des transferts de sommes d’argent importantes en outrepassant l’authentification. Pour cela, ils ont utilisé deux smartphones. Le premier simulait le terminal de paiement auprès de la carte Visa volée et l’autre simulait une carte Visa auprès du vrai terminal de paiement. Cette arnaque nécessite donc un peu de matériel, mais rien de bien difficile à obtenir pour des personnes mal intentionnées.

Grâce à un protocole de paiement modifié, les chercheurs sont parvenus à faire croire au terminal de paiement que l’authentification avait bien été faite. Dans les faits, ce n’était pas le cas. Sans limites d’achat et sans devoir s’authentifier, les chercheurs étaient en mesure de transférer des sommes importantes sans problème. La carte Visa interprétait ses montants comme inférieurs au seuil nécessitant de valider l’achat.

Vous pouvez voir l’astuce en action dans la vidéo de démonstration des chercheurs :

Pour pouvoir exploiter cette brèche, il faut évidemment disposer d’une carte Visa, après quoi les personnes malintentionnées n’ont plus qu’à vider le compte de leurs victimes. Les chercheurs de l’ETH de Zurich ne partagent pas en détail le protocole de paiement qu’ils ont modifié pour berner le terminal de paiement et la carte Visa pour des raisons évidentes.

Si vous êtes propriétaire d’une carte Visa, vous pouvez donc vous rassurer. En cas de perte ou de vol, faites-en sorte de bloquer rapidement votre carte. Selon Visa Belgique, il n’y aurait pas de quoi s’inquiéter : « Les études et tests peuvent être intéressants, mais en réalité ce genre de méthodes s’est avéré irréalisable à mettre en place par des fraudeurs dans le monde réel. »

« Visa traite toutes les menaces liées à la sécurité avec le plus grand sérieux, et nous apprécions les efforts de la part de l’industrie et du milieu universitaire visant à renforcer la sécurité des paiements. Les consommateurs peuvent continuer à utiliser leurs cartes Visa en toute confiance », a indiqué un porte-parole de Visa Belgique.