Publi-News

Switch to desktop Register Login


Loïc Guézo, Trend Micro : «La sécurité des nouveaux moyens de paiement va susciter de nouvelles menaces»

  • mardi 9 décembre 2014 09:14
  • Taille de police Réduire la taille de la police Réduire la taille de la police Augmenter la taille de police Augmenter la taille de police


L’équipe de chercheurs de l’éditeur de sécurité Trend Micro fait figurer en bonne place les nouveaux moyens de paiement parmi ses prédictions en matière de menaces pour l’année 2015. La multiplication des nouveaux moyens de paiement aura ainsi un impact sur la cybercriminalité Dans cette interview, Loïc Guézo, évangéliste Sécurité de l'Information pour l'Europe du Sud chez Trend Micro et administrateur du Clusif détaille les nouvelles menaces qui se profilent dans ce secteur.

Qu’est-ce qui vous amène à penser que les nouveaux moyens de paiements vont devenir une cible prioritaire pour les cybercriminels ? 

C’est un ensemble d’évènements que nous avons constatés au niveau national comme au niveau international qui nous amènent à penser que les nouveaux moyens de paiements, notamment le paiement mobile et sans contact qui se généralise un peu partout, vont devenir la cible du cybercrime. Le contexte y tient une bonne place puisque les terminaux mobiles sont toujours aussi peu sécurisés. En effet, les solutions proposées sur le marché sont encore trop rarement utilisées par les utilisateurs mobiles qui n’ont pas pleinement conscience des risques, bien que les cybercriminels ne cessent de perfectionner leurs techniques pour tirer profit de ces nouveaux outils. L’arrivée du sans contact est un tournant qui peut être exploité par les cybercriminels puisqu’en 2013 la Cnil a épinglé le dispositif de sécurité par défaut installé sur les cartes EMV sans contact. Le lancement d’Apple Pay ou de Google Wallet montrent que les usages des consommateurs changent et que tous ces mouvements sont surveillés par les pirates. Je n’en veux pour preuve que le projet de consortium de distributeurs américains pour concurrencer Apple Pay via l’initiative CurrentC, laquelle a été piratée avant même son lancement!

 

Vous pensez qu’une carte bancaire sans contact puisse être facilement piratée ?

En effet, les cartes de paiement sans contact peuvent être piratées par un mobile NFC comme viennent de le montrer deux chercheurs britanniques à la 21ème Conference on Computer and Communications Security. Ils ont démontré qu’il y avait une faille dans le protocole de paiement sans contact, à condition d’effectuer une demande en devise étrangère. Il suffit alors d’émuler un terminal de paiement sur le mobile afin de générer un ordre de paiement sur la carte qui va l’accepter alors que limite en devise nationale est de 20 £. Sans éveiller de soupçon puisque toutes les vérifications sont effectuées sur la carte et non pas sur le mobile, cette faille permet de commander des virements d'un montant maximum de 999.999,99 dollars, ou euros, ou livres. Il suffit alors de sélectionner à l’avance le montant à transférer et d’effleurer le téléphone mobile contre la poche de quelqu’un ou de le faire glisser sur un portefeuille laissé sur une table et ensuite approuver la transaction. Elle est approuvée en moins d’une seconde. Bien sûr, Visa répond que cette fraude serait détectable au niveau du back office et donc difficile à finaliser. Les deux chercheurs à répondu à Visa qu’un flux massif de virements en devises étrangères ne pourrait être intercepté aussi facilement. Quoiqu’il en soit, la réputation du NFC comme moyen de paiement sécurisé n’est plus infaillible. Visa Europe a décidé de mettre à jour ses protections dans le domaine de l’identification afin de rendre plus difficile ce type d’attaque.

 

Ce qui vaut pour les cartes sans contact, vaut-il aussi pour les mobiles sous NFC ?

Parfaitement, ce qui signifie que la technologie NFC, largement utilisée dans les solutions de paiement mobile, va continuer à faire l’objet d’une attention de la part des pirates. Les utilisateurs de Google Wallet l'ont déjà appris à leurs dépens lorsqu'une application malveillante, à laquelle des privilèges NFC avaient été accordés, s'est montrée capable de dérober les informations de leur compte utilisateur et leur argent. Des programmes de m-commerce récemment mis en œuvre tels que WeChat, destinés au grand public, peuvent également devenir des cibles de premier choix pour les cybercriminels. Alors que le NFC s'impose de plus en plus, ni les utilisateurs ni les fabricants d’équipements mobiles ne semblent  vraiment prêts question sécurité. Les utilisateurs doivent prendre conscience que les attaquants vont se donner les moyens d'intercepter les tags NFC en transit. Ils devront se montrer prudents. Les fabricants doivent prendre des mesures et envisager la sécurité des produits dès leur conception. Lorsqu'elles sont configurées et utilisées de manière adéquate, les technologies offrent d'innombrables bénéfices. Mais si la sécurité n'est pas prise en compte lors du développement, les conséquences peuvent être lourdes. Depuis l’affaire Emmental que nous avons découverte récemment, les banques ont mis en place des systèmes d’authentification mais qui peuvent être détournés.

 

La sécurité du NFC n’est pas non plus un sujet nouveau. N’est-ce pas ?

Tout à fait. Il y a deux ans, un ingénieur sécurité de British Telecom a montré une faille lors de la conférence Hackito Ergo Sum. Elle permet d'intercepter des données personnelles stockées sur un support NFC, et donc de concevoir un lecteur capable de lire ces données à quelques mètres. La faille a été communiquée à la CNIL qui a ouvert une enquête toujours en cours. Par ailleurs, ces sujets sont régulièrement commentés par l’ARCSI, dont fait partie cet éminent chercheur Renaud Lifchitz. L’insécurité du sans contact n’est donc pas un problème nouveau, dans la suite des analyses de divers protocoles radio « sans fils » et en attendant l’informatique quantique…

 

Ne peut-on craindre que les attaques se concentrent sur les points de vente, les TPE et les mPOS?

C’est le cas en effet. Les pirates peuvent faire appel à l’injection SQL et contourner les contrôles de périmètre et les défenses anti-intrusion de l’entreprise. Ils peuvent utiliser également des malwares équipés de routines qui déjouent les mécanismes de blocage des logiciels de protection ou utiliser carrément des malwares furtifs. Si on comptait plus de 4 millions de malwares visant Android, le cap des 8 millions sera passé en 2015. Les attaques sur les TPE en 2014, à l’origine de fuites massives selon Verizon, montrent que ces nouveaux risques sont bien réels. Le m-payment va devenir la cible des cybercriminels. Certes, les Etats-Unis vont migrer l’an prochain à l’EMV. Toutefois, plusieurs experts avancent que la sécurité du protocole « Chip&sign » choisi par les Etats-Unis est inférieure à celle du « Chip&PIN » retenu en Europe.

 

 

Connectez-vous pour commenter

Copyright Publi-News

Top Desktop version