Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Étudiant
    Inscrit en
    novembre 2013
    Messages
    49
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2013
    Messages : 49
    Points : 1 957
    Points
    1 957

    Par défaut Les cartes à puce américaines sont compromises par millions

    Les cartes à puce américaines sont compromises par millions
    Selon une étude menée par Gemini Advisory

    EMV est un standard international pour les cartes de débit et les cartes de crédit intelligentes initié par le consortium EMVCo. Il apporte un niveau de sécurité beaucoup plus élevé par rapport aux cartes à piste magnétiques, et s’inspire largement de la carte à puce originale. La France a été, avec la Grande-Bretagne, l’un des premiers pays à migrer entièrement vers le nouveau standard EMV. Aujourd’hui la plupart des pays européens l’ont adopté, de même pour certains pays d’Asie et d’Amérique. C’est ainsi qu’en 2015, les États-Unis ont eux aussi entamé leur migration vers ce standard. Ils ont opté pour ce dernier en raison de la sécurité qu’il procure et espéraient donc ainsi réduire considérablement les pertes liées à la fraude pour les banques et les détaillants basés aux États-Unis.

    Trois années après la migration des États-Unis vers ce standard, les choses ne se déroulent pas comme prévu. Alors que pratiquement tous les clients des institutions financières sont déjà dotés de nouvelles cartes compatibles EMV, on constate néanmoins que la fraude à la carte n’a pas été éliminée. C’est ce que révèle une étude de Gemini Advisor qui a été menée sur la base des données de télémétrie collectées au cours de nombreuses années sur diverses sources de réseau noir. Cette étude a pu démontrer qu'au moins 60 millions de cartes américaines avaient été compromises.

    Les principales conclusions de cette étude sont les suivantes :
    • 60 millions de cartes de paiement américaines ont été compromises au cours des 12 derniers mois ;
    • 45,8 millions, soit 75%, sont des enregistrements de Carte-Présentes (CP) et ont été volés sur les appareils au point de vente, alors que seulement 25% ont été compromis par des violations en ligne ;
    • 90% des cartes de paiement américaines CP compromises étaient compatibles EMV ;
    • Les États-Unis sont en tête du monde en ce qui concerne le nombre total de cartes de paiement EMV compromises, avec 37,3 millions d'enregistrements ;
    • Les groupes de menaces motivés par des considérations financières exploitent toujours le manque de conformité des commerçants à la norme EMV ;
    • Un passage imminent de la fraude par CP à une fraude par Carte-Non-Présente (CNP) est déjà évident, avec une augmentation de 14% du nombre de cartes de paiement volées en raison de violations du commerce électronique au cours des 12 derniers mois.


    Number of stolen chip-enabled EMV vs. magnetic payment cards in the US

    Nom : Gemini Advisor.PNG
Affichages : 3083
Taille : 106,7 Ko

    Ces résultats reflètent directement le manque de conformité des marchands américains avec la mise en œuvre d'EMV. Comparés au reste du monde, les États-Unis sont beaucoup plus touchés par la fraude par carte de crédit et la mise en œuvre du standard EMV a eu le moins d’impact positif que dans tous les autres pays du monde où il a été implanté.

    Comparison between stolen payment cards in the US and worldwide

    Nom : GerminiAdvisor2.PNG
Affichages : 2762
Taille : 79,7 Ko

    Ces cas de fraudes sont si récurrents aux USA que les méthodes pour y parvenir ont été identifiées. Généralement les criminels essaient de compromettre les réseaux marchands, se frayent un chemin vers des terminaux de point de vente sur le réseau cible et y déploient des logiciels malveillants. TRINITY, est l’un des logiciels utilisés lors de ces attaques et selon des chercheurs de FireEye, il fonctionne en permanence et cible les processus système qui ne figurent pas dans la liste noire des processus d’accompagnement, recherchant des données correspondant aux données de suivi des cartes de paiement. Une fois qu’il a identifié ces données, celles-ci sont copiées, codées puis finalement exfiltrées vers un serveur de commande et de contrôle. Cette méthode n’est qu’une des deux méthodes utilisées pour la fraude par carte de crédit, et une fois que les données de la carte de paiement ont été volées, elles sont souvent mises en vente sur divers marchés criminels.

    En attendant de pouvoir réduire au maximum le risque de fraude lié aux cartes de crédit dans les marchés américains, Gemini Advisory recommande l'utilisation de systèmes de paiement mobiles tels qu'Android Pay, Google Pay et Apple Pay, car il estime que de tels systèmes de paiement ne sont pas sensibles aux dispositifs malveillants ni aux logiciels malveillants des points de vente, ce qui en fait le moyen de paiement le plus sécurisé actuellement disponible.

    Sources : Geminy Advisory

    Et vous ?

    Pensez-vous que la France puisse rencontrer ce même problème ?

    Voir aussi :

    Le système bancaire de l'Inde met les bouchées doubles pour abandonner Windows XP au profit d'OS plus récents et mieux sécurisés
    Une banque suédoise ayant opté pour l'automatisation poussée réalise des bénéfices record le secteur bancaire prochain eldorado de l'automatisation ?
    SWIFT se prépare à dévoiler un nouveau plan de sécurité après les vols de banque « il y aura un avant et un après Bangladesh » a déclaré son PDG

  2. #2
    Membre émérite
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    février 2010
    Messages
    525
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 25
    Localisation : France

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : février 2010
    Messages : 525
    Points : 2 307
    Points
    2 307

    Par défaut

    En même temps les États Unis c'est un autre monde niveau carte de crédit, où le serveur du restaurant part avec les cartes de tous les monde pour aller les débiter dans son coin (bande magnétique), où le chauffeur de taxi recopie ta carte et la débitera plus tard, etc. Il y a une utilisation profondément non sécurisée des cartes de crédits/débits là bas.

  3. #3
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Cyber sécurité
    Inscrit en
    mai 2004
    Messages
    9 512
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Cyber sécurité

    Informations forums :
    Inscription : mai 2004
    Messages : 9 512
    Points : 28 103
    Points
    28 103

    Par défaut

    Oui, tout le monde sait que l'utilisation des bandes magnétiques des cartes à puces est un soucis, et qu'il est beaucoup plus sécurisé d'utiliser des puces. Ça reste d'ailleurs beaucoup plus sécurisé que d'utiliser les techniques actuelles de paiement sans contact.

    Mais même en Europe, tous les terminaux n'utilisent pas la puce, il en reste un certain nombre qui utilise la bande magnétique.

    Après, on peut aussi se demander pourquoi ce changement est aussi long aux États-Unis, alors qu'il a été initié il y a déjà plusieurs années. À titre de comparaison, le changement de terminaux pour passer au paiement sans contact a été beaucoup plus rapide en France. Certes, ce dernier n'impacte que le changement chez les commerçants, et pas les DAB ou distributeurs automatiques (encore que nombre de ceux-ci acceptent désormais le paiement sans contact), mais quand même, ça n'explique pas une telle différence de temps.
    Modérateur "C", "Informatique Générale & Hardware" et "Unix"
    Les règles du forum

  4. #4
    Membre actif
    Inscrit en
    mai 2003
    Messages
    112
    Détails du profil
    Informations personnelles :
    Âge : 38

    Informations forums :
    Inscription : mai 2003
    Messages : 112
    Points : 223
    Points
    223

    Par défaut

    on peut ajouter aussi que le EMV ne chiffre PAS toutes les données lors de la transaction, car l EMV est initialement prévue pour fonctionner sur une liaison filaire sécurisée.
    Sauf que l EMV a été repris tel quel pour les paiements sans contacts comme avec le NFC. On se retrouve donc avec des paiements sans contacts non chiffrés, donc ouverts aux fuites. On peut ainsi lire les meta data d une transmission EMV (comme le nom et le montant) sur NFC avec un simple lecteur à proximité.
    C est un choix technique des banques, dont le cœur de métier est de gérer les risques: aux yeux des banques, les risques liés à ces fuites et le remboursement des dégâts potentiels est considéré comme moins coûteux que de remplacer ou rénover/adapter le EMV partout.

  5. #5
    Membre éprouvé
    Profil pro
    Inscrit en
    janvier 2011
    Messages
    1 255
    Détails du profil
    Informations personnelles :
    Localisation : France, Nord (Nord Pas de Calais)

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 255
    Points : 1 009
    Points
    1 009

    Par défaut

    Pour avoir taffé de prés dans le domaine des CB , le titre de l'article me fait tousser ...

    Faut il rappeler qu'aux USA c'est Americain Express et des cartes à pistes ? Avec un taux de fraude énorme ... une simple copie de piste et byebye la CB ...

    On reparle du scandale des hyper target avec le piratage de 130 millions de cartes ?

Discussions similaires

  1. Réponses: 2
    Dernier message: 15/01/2018, 17h57
  2. Réponses: 29
    Dernier message: 12/12/2016, 14h51
  3. Réponses: 3
    Dernier message: 13/05/2015, 13h05
  4. Réponses: 2
    Dernier message: 03/10/2006, 19h14
  5. Réponses: 4
    Dernier message: 09/11/2004, 23h38

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo