Carte à Puce (CAP) + Secur@ccès
Salut à tous.
Je cherche des renseignements sur le fonctionnement d'un algorithme de sécurité nommé MAC (Message Authentification Code) utilisé dans le lecteur CAP (Carte à Puce) associés à la carte Secur@ccès utilisé à la caisse d'épargne comme moyen d'authentification forte, pour ceux qui n'ont pas de mobile et ne peuvent pas s'authentifier par SMS, dans le cadre de la directive européenne DSP2 / 2FA.
Il parait que c'est basé sur une symétrique reposant sur un CBC-MAC (Cipher-Block Chaining MAC) implémenté avec Triple DES. La puce de la carte Secu@ccès contient une clef 3DES qui est paartagée avec le serveur de la banque. On s'identifie par un challenge où la puce calcule un CBC-MAC puis en extrait quelques chiffres qui s'affichent et que l'on reporte sur le site WEB pour s'authentifier. La banque qui possède la même clef refait le même calcul CBC-MAC (c'est la challenge) et compare le résultat à l'OTP (One Time Password) saisi.
A part cela, je n'ai pas compris comment se fait la synchronisation entre ce OTP produit par la carte Secur@ccès qui n'est relié à rien du tout (ni internet, ni cellulaire, il n'y a même pas de piles) avec le serveur de la caisse d'épargne qui va faire la validation de l'authentification.
Est-ce que cette authentification a déjà été piratée ?
Je ne fais aucune confiance dans les mobiles car on peut lire sur le net :
*) que des SMS ont été détournés sans que leur propriétaire s'en rende compte.
*) la fraude à la carte SIM ou usurpation de carte SIM par transfert du numéro du mobile sur une nouvelle carte
Cordialement.
Artemus24.
@+
Répondre avec citation
Je suppose que sans la connaissance de cette clef 3DES, il est impossible de pirater l'accès.
Partager