Elles sont réputées pour être sûres et pourtant. Un universitaire anglais a mis à jour un risque de fraude sur les cartes à puce en réussissant à contourner le code secret nécessaire à leur utilisation. Les banques européennes se sont aussitôt mobilisées pour tenter d'enrayer cette faille, a affirmé jeudi Jean-Marc Bornet, administrateur du Groupement des Cartes Bancaires CB.
Ross Anderson, spécialiste de la sécurité informatique, a donc découvert comment fausser le dialogue entre une carte et un terminal de paiement, de manière à faire croire à tort à celui-ci que le porteur de cartes a tapé son code. "C'est un concept de fraude que nous connaissons, sous le nom de "man in the middle". La nouveauté est que ce professeur a réussi à le mettre en oeuvre il y a quelques semaines", a expliqué Jean-Marc Bornet, confirmant des informations du Figaro.
Le scénario, pour l'instant, reste "académique", a cependant tempéré l'administrateur du Groupement Cartes Bancaire CB, qui réunit près de 140 établissements financiers et opère une grande partie des systèmes de paiement et de retraits européens. "Le procédé requiert un matériel lourd, un ordinateur, qui doit être branché sur le terminal. Il faudra du temps pour miniaturiser un tel équipement", a-t-il expliqué.
De plus, le leurre ne trompe pas les serveurs lorsque les transactions font l'objet d'une demande d'autorisation vers la banque du client, c'est-à-dire lors des retraits dans les distributeurs, des paiements par internet, et des achats dans un magasin d'un gros montant. Seules circonstances possibles du leurre : les achats dans les magasins de petits montants, quelque dizaines d'euros, car les transactions ne requièrent pas de demande d'autorisation.
Enfin, la fraude potentielle ne lèserait pas les clients mais les banques. "Le système ne fonctionne qu'avec de vraies cartes, donc des cartes volées, et dans ce cas les clients sont protégés par leur contrat", a dit Jean-Marc Bornet. Les banques et le Groupement des cartes bancaires sont néanmoins mobilisées pour résoudre au plus vite cette faille de sécurité, a-t-il ajouté. Cinq cents millions de cartes à puce utilisant le standard EMV (Europay-Mastercard-Visa), objet de l'expérience de Ross Anderson, circulent en Europe, dont 60 millions en France.