Les fraudes basées sur les cartes de paiement sont sans doute les plus connues puisque les plus anciennes et les plus médiatisées.
La plus simple des fraudes, et donc l’une des plus répandues, consiste à collecter les données présentes sur les pistes magnétiques d’une carte de paiement. Ces données peuvent permettre de réaliser des opérations de retrait ou de paiement.
La dotation en « puces » des cartes de paiement, qui a pour objectif de réduire ce type de fraude, a eu pour conséquence de transférer une partie de l’intérêt des fraudeurs sur cette technologie. A ce jour, seules deux fraudes ciblant les microprocesseurs sont recensées : la première visant l’espionnage des échanges entre la carte et le terminal, la seconde vise à modifier le comportement observé de la carte. Toutes deux sont basées sur l’attaque de l’homme du milieu décrite au paragraphe 4.2.2.
4.2.1 Fraude par mouchard
4.2.1.1 PrésentationLa fraude par mouchard, plus connue sous le terme de skimming, consiste à capturer, à l’insu du porteur, des données de la carte de paiement.
En théorie la collecte peut être réalisée à partir de l’ensemble des interfaces de la carte : l’embossage/les données sérigraphiées, la bande magnétique, la puce et l’interface sans contact. Toutefois, en raison du faible niveau de sécurité qu’elle présente, la bande magnétique est le plus souvent la cible du dispositif de capture des données bancaires (figure 4.1).
(a) Recto) (b) Verso
Figure 4.1 – Exemple de mouchard ou skimmer à pistes magnétiques
Afin d’être complète et de permettre une opération de retrait ou de paiement, la collecte des données de paiement est souvent accompagnée d’une collecte du code confidentiel (figure 4.2).
Une fois ces données capturées, elles peuvent être revendues afin de réaliser des cartes contrefaites ou des paiements sur Internet (données de l’interface visuelle). Cette opération est communément appelée « carding ».
Une carte contrefaite peut aisément être réalisée en récrivant des données récupérées sur une autre carte à pistes magnétiques. Seule la détention d’une encodeuse de pistes magnétiques est nécessaire (environ 200 e).
(a) Recto) (b) Verso
Figure4.2 – Exemple de dispositif de capture du code confidentiel
4.2.1.2 Évolution de la fraude par mouchard
Bien qu’il en soit difficile de déterminer à quelle date remonte la première fraude par mouchard, il est vraisemblable qu’elle remonte aux premières cartes de paiement émises, avec une interception manuelle des données imprimées sur celles-ci.
Depuis quelques années, cette fraude s’est très largement répandue et de nombreux organismes (European ATM Security Team (EAST), Observatoire de Sécurité des Cartes de Paiement (OSCP), Financial Fraud Action UK (FFA UK), etc.) s’appliquent à la surveiller. Ainsi, il possible d’en dessiner assez fidèlement l’évolution sur les dix dernières années [63].
Figure 4.3 – Évolution de la fraude par mouchard au cours des dix dernières années -
source : EAST [63]
On peut observer la constante évolution de cette fraude en terme de faits constatés jusqu’en 2013 (tracé rouge sur figure 4.3). Cette croissance s’observe moins en terme de volume de montant fraudé (tracé bleu sur figure 4.3) dont le volume est stagnant.
Si l’évolution de la fraude constatée est enrichissante, l’évolution des techniques et technologies employées l’est tout autant. La rareté des articles scientifiques sur le sujet [47, 34] ne permet toutefois pas d’obtenir une base de référence suffisante sur le sujet, et seul le ressenti des spécialistes du domaine permet d’apprécier l’évolution des techniques employées.
Il en ressort une forte adaptation des mouchards à leur environnement et à la recherche d’une efficacité et autonomie toujours plus grande. Ainsi la collecte des informations est passée d’une collecte manuelle des données embossées sur la carte, à une collecte des données de la piste à partir d’un lecteur de bureau, puis d’un lecteur portable autonome, d’un lecteur caché dans une fente d’insertion de carte, dissimulé dans une fente d’accès à un sas sécurité, pour enfin s’intéresser aux données échangées par la puce.
4.2.1.3 Taxonomie des mouchards actuels
De nombreux modèles différents de mouchard coexistent de nos jours. Bien qu’il soit possible de les classer en fonction du support sur lesquels ils sont retrouvés (terminal de paiement, de retrait, lecteur portable ou encore autonome), un classement en fonction de leurs propriétés intrinsèques en permet une identification plus fidèle.
En prenant en considération l’interface de la carte que le mouchard cible pour la collecte des données, une première classification peut être effectuée entre les mouchards de pistes magnétiques et ceux de cartes à puce à contacts. A ce jour, aucun mouchard visuel ou sans contact n’a été utilisé concrètement lors d’une fraude.
Une fois cette première grande distinction réalisée, les dispositifs de capture de données de carte peuvent être triés en fonction des technologies employées par chacune des quatre composantes d’un mouchard (figure 4.4) :
• l’acquisition du signal de pistes magnétiques. Elle peut demeurer analogique ou être numérisée. L’emploi d’un amplificateur opérationnel ou d’un circuit de décodage du signal modulé (décodeur F2F - fréquence/double fréquence) se révèle donc être un premier élément de classification qui peut être complété par la référence du ou des composants employés ;
• le traitement des données collectées. Une classification peut être réalisée en fonction des composants employés pour réaliser cette tâche (eg. micro-contrôleur) ;
• le stockage des données collectées. Une classification par les composants utilisés (eg. mémoire Flash) peut également être réalisée ;
• l’interface de communication. Elle se révèle également être un élément de clas- sification pertinent. Quelle que soit sa nature (2 broches, 3 broches, 4 broches, Bluetooth ou encore GSM), la présence d’une interface de communication est en effet indispensable pour que l’utilisateur récupère les données collectées.
Cette proposition de classification a été adoptée par l’Europol CyberCrime Center (EC3) au sein de sa plateforme destinée à ses experts du domaine, l’European Plateform for
Expert.
Figure4.4 – Schéma de décomposition d’un mouchard de carte de paiement (hors interface de communication) - source : Souvignet et Frinken [62]
4.2.2 Fraude par attaque de l’homme du milieu
4.2.2.1 PrésentationUne attaque de l’homme de milieu, ou man in the middle attack, consiste à s’insérer dans un canal de communication entre deux entités pour intercepter voire modifier les échanges entre ces parties. Une telle attaque a récemment été démontrée sur des cartes à puce EMV par l’équipe sécurité de l’université de Cambridge [48].
L’attaque proposée consiste à insérer un dispositif électronique entre la puce d’une carte et ses contacts. Au cours d’une transaction de paiement, ce dispositif indique à la carte que l’utilisateur est authentifié par signature du porteur, et au terminal (en contact avec la carte) qu’il est authentifié par vérification du code PIN.
La miniaturisation de cette attaque, démontrée sur une publication plus récente de cette même équipe [6] (figure 4.5), rend cette attaque furtive et donc exploitable par un fraudeur. L’existence d’une fraude liée à ce type d’attaque a été rendue publique début 2013 [43]. Bien qu’elle soit difficile à mettre en œuvre, le retour sur investissement (plus de 500000 e de préjudice pour une dizaine de cartes falsifiées) semble être suffisamment important pour intéresser les fraudeurs et entrevoir une généralisation de la fraude.
4.2.2.2 Évolution et dispositif de lutte contre la fraude
Dans son rapport annuel 2013 sur la fraude 2012 [50], l’OSCP souligne la complexité de mise en œuvre de cette fraude et sa portée limitée uniquement aux paiements offline, donc de montants faibles (en France inférieurs à 100 euros). Il reste donc optimiste quant à une
Figure4.5 – Carte modifiée pour attaque de l’homme du milieu - source : lightbluetouch-
paper.org / Mike Bond
évolution limitée de cette fraude.
Dans ce même rapport, l’OSCP indique que deux solutions permettant de lutter contre cette fraude : une systématisation du paiement online ou une migration accélérée vers une authentification CDA (cf. 2.4.3).
La première solution s’avère difficilement envisageable (mise à jour du parc hétérogène) et ôterait tout intérêt au paiement par carte à puce dont l’une des principales forces réside dans un paiement offline sécurisé. Par ailleurs, cette solution sous-entend que les établissements aient mis en place une solution remontant de manière systématique le mode d’authentification du porteur utilisé, le résultat obtenu et qu’ils en vérifient l’adéquation avec le système de paiement utilisé.
La seconde proposition apporte une solution à long terme qui pourrait par ailleurs être réglée par une personnalisation adaptée, interdisant toute authentification par défaut ou basée sur la signature du porteur.