Archives par mot-clé : carte

Piratage de cartes de crédit prépayées

La justice belge enquête sur une fraude à la carte bancaire prépayée. Plusieurs centaines de cas déjà référencés.

Une faille a-t-elle était découverte dans les cartes de crédit prépayées belges ? Selon les journaux belges Gazet van Antwerpen et Het Belang van Limburg, des pirates informatiques auraient mis la main sur plusieurs centaines de cartes de crédit prépayées. Des CB qui ne demandent pas à être connectées directement à un compte en banque. Ces cartes se rechargent. Pas besoin de fournir une pièce d’identité pour en acquérir une.

En Belgique, Axa, Belfius et bpost proposent ce type de service. En France, Veritas, Ukash, NeoCash ou encore Carte Zero existent sur un marché comptant plusieurs dizaines de concurrents. Les pirates auraient réussi à manipuler les cartes prépayées de plusieurs établissements financiers. Phishing de clients ou attaque ciblée ? La justice belge n’a pour le moment aucune réponse. A suivre ! (RTBF)

Il y a bien eu des tentatives de piratage de Gemalto

Gemalto a présenté ce mercredi 25 février les conclusions de ses investigations sur le possible piratage de clés d’encryptage de cartes SIM diffusé par un journal américain. Pour la firme, l‘analyse de la méthode décrite dans les documents et les tentatives d’intrusion sophistiquées détectées par Gemalto en 2010 et 2011 rendent cette opération probable. Les attaques (Phishing et tentative d’installation du cheval de Troie) n’auraient touché que des réseaux bureautiques, elles n’ont pas pu résulter en un vol massif de clés d’encryptage de cartes SIM. La technique utilisée étant d’intercepter les clés lors de l’échange entre l’opérateur télécom et ses fournisseurs, et Gemalto indique avoir largement déployé un système d’échange sécurisé avec ses clients, avant 2010. Les données éventuellement volées par cette méthode ne sont exploitables que dans les réseaux de deuxième génération (2G). Les réseaux 3G et 4G ne sont pas vulnérables à ce type d’attaque.

Suite à la publication de documents le 19 février 2015 dernier, Gemalto a mené une investigation approfondie sur la base de deux éléments : les documents censés émaner de la NSA et du GCHQ rendus publics par ce site, et les outils de surveillance interne, avec leurs registres de tentatives d’intrusion.

L’article de The Intercept suppose que les documents publiés sont réels et qu’ils décrivent précisément des événements qui se sont produits en 2010 et 2011. Notre publication ci-dessous n’a pas pour but de confirmer partiellement ou entièrement ni de fournir des éléments permettant de réfuter partiellement ou entièrement le contenu des documents publiés par ce site web. En tant qu’acteur de la sécurité numérique, Gemalto est régulièrement la cible d’attaques. Ces tentatives d’attaques sont plus ou moins sophistiquées et nous sommes habitués à y faire face. La plupart échouent mais quelques-unes parviennent parfois  à pénétrer la partie externe de notre réseau qui est architecturé pour être très sécurisé.

 

Si nous regardons en arrière, sur la période couverte par les documents de la NSA et le GCHQ, nous confirmons avoir fait face à plusieurs attaques. En 2010 et 2011 précisément, nous avons détecté deux attaques particulièrement sophistiquées qui pourraient être reliées à cette opération.

 

En juin 2010, nous avons remarqué une activité suspecte sur l’un de nos sites français où un tiers a essayé d’espionner le réseau que nous appelons « office », c’est-à-dire le réseau de communication des employés entre eux et avec le monde extérieur. Des mesures ont été prises immédiatement pour éradiquer la menace.
En juillet 2010, notre équipe de sécurité a détecté un second incident. Il s’agissait de faux courriels envoyés à l’un de nos clients opérateur mobile en usurpant des adresses mail authentiques de Gemalto. Ces faux emails contenaient un fichier attaché qui permettaient le téléchargement de code malveillant. Nous avons immédiatement informé le client concerné et signalé l’incident aux autorités compétentes, en leur communiquant l’incident lui-même et le type de programme malveillant identifié.

 

Au cours de la même période, nous avons également détecté plusieurs tentatives d’accès aux ordinateurs de collaborateurs de Gemalto ayant des contacts réguliers avec des clients. A l’époque, nous n’avons pas pu identifier les auteurs de ces attaques mais maintenant nous pensons qu’elles pourraient être liées à l’opération du GCHQ et de la NSA.

 

Les intrusions n’ont affecté que des parties externes des réseaux de Gemalto, c’est-à-dire les réseaux bureautiques qui sont en contact avec le monde extérieur. Les clés de cryptage et plus généralement les données client ne sont pas stockées sur ces réseaux. Il faut imaginer l’architecture de notre réseau un peu comme le croisement entre un oignon et une orange. Il est composé de couches multiples et de nombreux quartiers qui permettent de cloisonner et d’isoler les données.

 

Piratage de carte bancaire NFC

Intercepter les données d’une carte bancaire NFC, de la science fiction indique les lobbyistes des banques ? Un Français avait expliqué les dangers du NFC. Des chercheurs britanniques démontrent comment voler de l’argent risque de devenir un jeu d’enfant.

Les cartes sans contact permettent d’acheter des biens sans taper le moindre mot de passe. Il suffit juste de passer la carte à quelques centimètres d’un lecteur dédié pour payer (moins de 20€). Des cartes bancaires qui « balancent » dans les airs, via des ondes radios, données bancaires et validation de la transaction.

En France, Renaud Lifchitz, chercheur en sécurité informatique français mondialement connu et reconnu, avait mis à mal la sécurité du sans fil de nos CB. Depuis peu, une équipe de l’Université de Newcastle, au Royaume-Unis, a mis à jour une faille de sécurité considérée comme grave dans le système sans contact.

Lors de la conférence ACM (Conference on Computer and Communications Security) les ingénieurs ont expliqué comment il est facile de mettre en place un faux terminal de point de vente à partir d’un téléphone mobile (un concept qu’avait déjà démontré Renaud Lifchitz). A partir de ce « point de vente », les chercheurs ont montré qu’il était possible de créer une opération financiére pouvant atteindre 999,999.99 dollars, soit bien loin des 20€ normalement autorisés. « Il a fallu moins d’une seconde pour que la transaction soit approuvée » explique l’équipe britannique.

Pour contrer ce genre d’attaque, nous vous conseillons fortement de vous équiper d’un espace de protection que vous installez dans votre porte-feuille. La société Stop-RFID.fr propose plusieurs solutions de sécurisation physique de votre CB.

Visa, montré du doigt dans cette alerte, indique de son côté qu’il n’y a aucune cause d’inquiétude. « Nous avons examiné les conclusions de Newcastle dans le cadre de nos efforts constants sur la sécurité et la fraude des paiements. Les chercheurs ne tiennent pas compte des nombreuses mesures de protection mises en place par Visa« . Pour Visa, cette attaque ne fonctionne qu’en laboratoire, pas dans la vraie vie. (BBC)

Les cartes à puces bientôt utilisées aux USA

Les deux géants de la carte bancaire, Visa et MasterCard, vont créer aux États-Unis un groupe de travail qui aura pour finalité de réfléchir à l’implation de la carte à puce sur le territoire de l’Oncle SAM. Ce groupe de travail regroupe des banques, des assurances et des commerçants. Le second effet du piratage des enseignes de grande distribution Neiman Marcus, Target ?

Aux USA, 5,6 milliards de cartes bancaires évoluent dans les poches des consommateurs. 1,6 million de cartes possèdent une puce. 0,3% qui font pâle figure face au 81% de CB pucées en Europe.

La National Retail Federation, en charge du commerce de détail, indique que la mise en place de cette carte devrait coûter 30 milliards de dollars. A côté des 11 milliards piratés en 2012, cela devrait être rapidement amorti pour les banques et commerçants.

La lettre d’information Nilson Report indique qu’un achat sur quatre dans le monde est effectué aux USA. Plus de 47% des fraudes dans le monde partiraient du sol américain.