Selon un article récent sur Forbes.com, des chercheurs d'une société de cybersécurité au Royaume-Uni ont découvert un piratage de carte Visa qui permet aux voleurs de vider votre compte bancaire grâce à une forme de vol numérique connue sous le nom d'écrémage de carte. Lisez la suite pour un résumé de l'article et consultez l' article complet pour plus de détails.
Les numéros PIN et les limites basses sont censés protéger votre carte Visa. Mais le font-ils ?
Vous avez probablement remarqué que vous n'avez généralement pas besoin de saisir votre code PIN ou de fournir une signature lorsque vous effectuez un débit sur votre carte de crédit ou de débit. En effet, la plupart des cartes ne nécessitent pas de vérification pour les transactions inférieures à un certain montant, appelé limite plancher. Au Royaume-Uni, ce montant est de 30 £ sur les cartes Visa. C'est 100 $ aux États-Unis. L’une des raisons de l’absence de vérification du code PIN ou de la signature est la commodité. Il est plus rapide d'utiliser une carte et de finaliser un achat que de fournir une signature ou de saisir un code PIN. La limite basse empêche les voleurs de retirer tout l’argent de votre compte en une seule transaction. Pour contourner ce problème, les escrocs peuvent tenter de facturer plusieurs frais jusqu'à la limite. Lorsque la banque constate des transactions répétées pour ce montant, elle désactive la carte. Mais les écumeurs RFID ont désormais un moyen de contourner le mécanisme de sécurité intégré.
Un lecteur RFID fait maison pourrait permettre aux escrocs de pirater la sécurité des paiements sans contact.
Voici comment fonctionne le hack : un pirate RFID scanne votre carte de crédit à l'aide d'un lecteur fait maison. Habituellement, les cartes nécessitent une vérification avec un code PIN pour les frais importants. Mais l'appareil du pirate informatique peut envoyer des messages à la carte et/ou au terminal indiquant que la vérification n'est pas nécessaire ou a déjà eu lieu. Ensuite, la transaction se déroule et le voleur récupère votre argent. L'article de Forbes affirme que les chercheurs ont pu voler environ trois fois la limite en un seul achat. Des transactions de cette taille ne déclencheraient aucune action de la part de la banque. Il est donc possible que quelqu'un effectue quelques frais raisonnables et retire plusieurs centaines de dollars, voire plus, de votre compte.
Ce hack ne se limite pas aux cartes de paiement sans contact.
Les smartphones sont également susceptibles d’être victimes d’attaques d’écrémage. Un voleur peut simplement scanner et relayer votre carte sans contact et obtenir le jeton numérique qu'il utilise pour autoriser les transactions. Le skimmer envoie ensuite le jeton numérique à un autre téléphone, qui peut être utilisé pour effectuer des paiements sans contact d'un montant supérieur à la limite.
Aux États-Unis, les titulaires de cartes sont également vulnérables.
Bien que les chercheurs aient découvert ce hack au Royaume-Uni, il ne se limite pas à cette région. Aux États-Unis, les cartes sont également vulnérables aux piratages d'écrémage.
Visa ne travaille pas sur une solution.
Visa n'a pas l'intention de faire quoi que ce soit contre ce piratage. Ils disent qu’il est peu probable que les voleurs l’essaient car ils devraient mettre la main sur une carte (en fait, il leur suffirait de la scanner). Visa affirme également que la fraude avec les cartes de paiement sans contact est en baisse, mais l'article répertorie des statistiques qui montrent le contraire.
Vous n'avez pas besoin d'être vulnérable au vol de carte ou aux piratages de sécurité.
Heureusement, vous pouvez contrecarrer le piratage des cartes de paiement sans contact. Conserver vos cartes de paiement dans un portefeuille bloquant la RFID les protège contre le piratage. Les voleurs ne pourront pas scanner vos cartes en premier lieu, ils ne pourront donc jamais utiliser le hack. Vous pouvez également vérifier fréquemment vos relevés bancaires pour identifier les frais frauduleux. Votre banque pourrait éventuellement découvrir une fausse transaction, mais il est probablement beaucoup plus sûr de la rechercher par vous-même.
