Cartes à puce : les banques mobilisées contre un risque de fraude

photo_1264074900346-1-1.jpg
Des cartes bancaires (Photo : Joël Saget)

[21/01/2010 12:03:19] PARIS (AFP) Les banques européennes sont mobilisées contre un risque de fraude mis à jour en laboratoire par un universitaire anglais, qui a réussi à contourner le code secret des cartes à puce, a affirmé jeudi à l’AFP Jean-Marc Bornet, administrateur du Groupement des Cartes Bancaires CB.

Les cartes à puce sont réputées plus sûres que les cartes magnétiques en raison du code confidentiel exigé. Mais Ross Anderson, spécialiste de la sécurité informatique, a découvert comment fausser le dialogue entre une carte et un terminal de paiement, de manière à faire croire à tort à celui-ci que le porteur de cartes a tapé son code.

“C’est un concept de fraude que nous connaissons, sous le nom de +man in the middle+. La nouveauté est que ce professeur a réussi à le mettre en oeuvre il y a quelques semaines”, a expliqué M. Bornet, confirmant des informations du Figaro.

Le scénario, pour l’instant, reste “académique”, a cependant tempéré l’administrateur du Groupement Cartes Bancaire CB, qui réunit près de 140 établissements financiers et opère une grande partie des systèmes de paiement et de retraits européens.

“Le procédé requiert un matériel lourd, un ordinateur, qui doit être branché sur le terminal. Il faudra du temps pour miniaturiser un tel équipement”, a-t-il expliqué.

De plus, le leurre ne trompe pas les serveurs lorsque les transactions font l’objet d’une demande d’autorisation vers la banque du client, c’est-à-dire lors des retraits dans les distributeurs, des paiements par internet, et des achats dans un magasin d’un gros montant. Seules circonstances possibles du leurre : les achats dans les magasins de petits montants –quelque dizaines d’euros– car les transactions ne requièrent pas de demande d’autorisation.

Enfin, la fraude potentielle ne lèserait pas les clients mais les banques. “Le système ne fonctionne qu’avec de vraies cartes, donc des cartes volées, et dans ce cas les clients sont protégés par leur contrat”, a dit M. Bornet.

Les banques et le Groupement des cartes bancaires sont néanmoins mobilisées pour résoudre au plus vite cette faille de sécurité, a-t-il ajouté.

Cinq cents millions de cartes à puce utilisant le standard EMV (Europay-Mastercard-Visa), objet de l’expérience de M. Anderson, circulent en Europe, dont 60 millions en France.