Les nouvelles méthodes des pirates informatiques pour s'emparer des codes secrets des cartes de paiement

Un article de Wired décrit l'apparition de nouvelles méthodes utilisées par les pirates informatiques pour s'emparer de grandes quantités de codes secrets de cartes de débit et de crédit. Le procédé repose sur l'interception de ces codes lors de leur transmission entre les distributeurs automatiques de billets et les serveurs des institutions financières émettrices et intermédiaires. Les codes secrets encryptés ne semblent par ailleurs pas épargnés, dans la mesure où les pirates exploitent les failles associées au paramétrage défaillant des équipements qui permettent de crypter les transactions financières (plus de détails sur ces modules de sécurité HSM vendus par la société Thalès ici). S'il semble que les machines sont configurées de manière absolument sûre lors de leur livraison, le besoin d'assurer leur compatibilité avec les équipements vendus par d'autres fournisseurs ainsi qu'avec les spécificités de chaque système bancaire national conduisent à ces erreurs. D'autres pirates ont développé une approche qui leur permet de siphonner les codes secrets pendant les quelques instants où ils sont stockés de manière non-cryptée sur les serveurs des banques afin d'autoriser la transaction.

S'il est confirmé, le saut qualitatif effectué par les fraudeurs leur permettrait d'accéder à un volume beaucoup plus important de données personnelles à très forte valeur ajoutée que ce que leur permet actuellement la fraude individualisée par skimming ou phishing. Par ailleurs, il sera plus difficile aux victimes de prouver leur bonne foi dans les cas de retraits d'espèces résultant de l'obtention frauduleuse du code secret, et il reste à voir dans quelle mesure les institutions financières joueront la transparence avec leurs clients.