Discussion :

[Jonathan]

Les cartes à puce américaines sont compromises par millions
Selon une étude menée par Gemini Advisory

EMV est un standard international pour les cartes de débit et les cartes de crédit intelligentes initié par le consortium EMVCo. Il apporte un niveau de sécurité beaucoup plus élevé par rapport aux cartes à piste magnétiques, et s’inspire largement de la carte à puce originale. La France a été, avec la Grande-Bretagne, l’un des premiers pays à migrer entièrement vers le nouveau standard EMV. Aujourd’hui la plupart des pays européens l’ont adopté, de même pour certains pays d’Asie et d’Amérique. C’est ainsi qu’en 2015, les États-Unis ont eux aussi entamé leur migration vers ce standard. Ils ont opté pour ce dernier en raison de la sécurité qu’il procure et espéraient donc ainsi réduire considérablement les pertes liées à la fraude pour les banques et les détaillants basés aux États-Unis.

Trois années après la migration des États-Unis vers ce standard, les choses ne se déroulent pas comme prévu. Alors que pratiquement tous les clients des institutions financières sont déjà dotés de nouvelles cartes compatibles EMV, on constate néanmoins que la fraude à la carte n’a pas été éliminée. C’est ce que révèle une étude de Gemini Advisor qui a été menée sur la base des données de télémétrie collectées au cours de nombreuses années sur diverses sources de réseau noir. Cette étude a pu démontrer qu'au moins 60 millions de cartes américaines avaient été compromises.

Les principales conclusions de cette étude sont les suivantes :

• 60 millions de cartes de paiement américaines ont été compromises au cours des 12 derniers mois ;
• 45,8 millions, soit 75%, sont des enregistrements de Carte-Présentes (CP) et ont été volés sur les appareils au point de vente, alors que seulement 25% ont été compromis par des violations en ligne ;
• 90% des cartes de paiement américaines CP compromises étaient compatibles EMV ;
• Les États-Unis sont en tête du monde en ce qui concerne le nombre total de cartes de paiement EMV compromises, avec 37,3 millions d'enregistrements ;
• Les groupes de menaces motivés par des considérations financières exploitent toujours le manque de conformité des commerçants à la norme EMV ;
• Un passage imminent de la fraude par CP à une fraude par Carte-Non-Présente (CNP) est déjà évident, avec une augmentation de 14% du nombre de cartes de paiement volées en raison de violations du commerce électronique au cours des 12 derniers mois.

Number of stolen chip-enabled EMV vs. magnetic payment cards in the US

Ces résultats reflètent directement le manque de conformité des marchands américains avec la mise en œuvre d'EMV. Comparés au reste du monde, les États-Unis sont beaucoup plus touchés par la fraude par carte de crédit et la mise en œuvre du standard EMV a eu le moins d’impact positif que dans tous les autres pays du monde où il a été implanté.

Comparison between stolen payment cards in the US and worldwide

Ces cas de fraudes sont si récurrents aux USA que les méthodes pour y parvenir ont été identifiées. Généralement les criminels essaient de compromettre les réseaux marchands, se frayent un chemin vers des terminaux de point de vente sur le réseau cible et y déploient des logiciels malveillants. TRINITY, est l’un des logiciels utilisés lors de ces attaques et selon des chercheurs de FireEye, il fonctionne en permanence et cible les processus système qui ne figurent pas dans la liste noire des processus d’accompagnement, recherchant des données correspondant aux données de suivi des cartes de paiement. Une fois qu’il a identifié ces données, celles-ci sont copiées, codées puis finalement exfiltrées vers un serveur de commande et de contrôle. Cette méthode n’est qu’une des deux méthodes utilisées pour la fraude par carte de crédit, et une fois que les données de la carte de paiement ont été volées, elles sont souvent mises en vente sur divers marchés criminels.

En attendant de pouvoir réduire au maximum le risque de fraude lié aux cartes de crédit dans les marchés américains, Gemini Advisory recommande l'utilisation de systèmes de paiement mobiles tels qu'Android Pay, Google Pay et Apple Pay, car il estime que de tels systèmes de paiement ne sont pas sensibles aux dispositifs malveillants ni aux logiciels malveillants des points de vente, ce qui en fait le moyen de paiement le plus sécurisé actuellement disponible.

Sources : Geminy Advisory

Et vous ?

Pensez-vous que la France puisse rencontrer ce même problème ?

Voir aussi :

Le système bancaire de l'Inde met les bouchées doubles pour abandonner Windows XP au profit d'OS plus récents et mieux sécurisés
Une banque suédoise ayant opté pour l'automatisation poussée réalise des bénéfices record le secteur bancaire prochain eldorado de l'automatisation ?
SWIFT se prépare à dévoiler un nouveau plan de sécurité après les vols de banque « il y aura un avant et un après Bangladesh » a déclaré son PDG

[benjani13]

En même temps les États Unis c'est un autre monde niveau carte de crédit, où le serveur du restaurant part avec les cartes de tous les monde pour aller les débiter dans son coin (bande magnétique), où le chauffeur de taxi recopie ta carte et la débitera plus tard, etc. Il y a une utilisation profondément non sécurisée des cartes de crédits/débits là bas.

[gangsoleil]

Oui, tout le monde sait que l'utilisation des bandes magnétiques des cartes à puces est un soucis, et qu'il est beaucoup plus sécurisé d'utiliser des puces. Ça reste d'ailleurs beaucoup plus sécurisé que d'utiliser les techniques actuelles de paiement sans contact.

Mais même en Europe, tous les terminaux n'utilisent pas la puce, il en reste un certain nombre qui utilise la bande magnétique.

Après, on peut aussi se demander pourquoi ce changement est aussi long aux États-Unis, alors qu'il a été initié il y a déjà plusieurs années. À titre de comparaison, le changement de terminaux pour passer au paiement sans contact a été beaucoup plus rapide en France. Certes, ce dernier n'impacte que le changement chez les commerçants, et pas les DAB ou distributeurs automatiques (encore que nombre de ceux-ci acceptent désormais le paiement sans contact), mais quand même, ça n'explique pas une telle différence de temps.

[Eric80]

on peut ajouter aussi que le EMV ne chiffre PAS toutes les données lors de la transaction, car l EMV est initialement prévue pour fonctionner sur une liaison filaire sécurisée.
Sauf que l EMV a été repris tel quel pour les paiements sans contacts comme avec le NFC. On se retrouve donc avec des paiements sans contacts non chiffrés, donc ouverts aux fuites. On peut ainsi lire les meta data d une transmission EMV (comme le nom et le montant) sur NFC avec un simple lecteur à proximité.
C est un choix technique des banques, dont le cœur de métier est de gérer les risques: aux yeux des banques, les risques liés à ces fuites et le remboursement des dégâts potentiels est considéré comme moins coûteux que de remplacer ou rénover/adapter le EMV partout.

[tanaka59]

Pour avoir taffé de prés dans le domaine des CB , le titre de l'article me fait tousser ...

Faut il rappeler qu'aux USA c'est Americain Express et des cartes à pistes ? Avec un taux de fraude énorme ... une simple copie de piste et byebye la CB ...

On reparle du scandale des hyper target avec le piratage de 130 millions de cartes ?