Bande magnétique

Principe du codage F/2F
http://leticketdemetro.canalblog.com/archives/2010/01/03/16368734.html

II.1.4 Utilisation sur la carte bancaire

Les informations contenues sur la bande magnétique des cartes bancaires sont standardisées par la norme ISO 7813. La bande est divisée en 3 pistes parallèles sur lesquelles les données nécessaires à la transaction sont encodées.

Piste 1
La piste 1 contient les informations suivantes :
• Le numéro de la carte,
• L’identité de l’utilisateur comprenant : noms, prénoms et surnoms éventuels,
• La date d’expiration de la carte,
• Le numéro de service de la carte indiquant si la carte est une carte de crédit, débit, retrait, si la carte international ou national,
• Les données privées comprenant le PVKI (PIN Verifiaction Key Indicator), le PVV (PIN Verification Value), le CVV (Card Vérification Value) et le CVC (Card Verification Code).

Afin de garantir une détection et une correction des erreurs, la piste se termine par un code correcteur LRC (Longitudinal redundancy check) .
La piste 1 peut ainsi se représenter comme le schéma ci-dessous.

Schéma d’encodage des données sur la piste 1
https://www.q-card.com/about-us/iso-magnetic-stripe-card-standards/page.aspx?id=1457

Piste 2
La piste 2 contient une copie des informations de la piste 1, à l’exception de l’identité de l’utilisateur. Cette piste contient alors uniquement des chiffres.
Tout comme la piste 1, cette piste se termine également par un code correcteur LRC.
La piste 2 peut ainsi se représenter comme le schéma ci-dessous.

Schéma d’encodage des données sur la piste 3
https://www.q-card.com/about-us/iso-magnetic-stripe-card-standards/page.aspx?id=1457

Piste 3
La norme ISO 7813, contient des instructions quant à l’encodage des données sur la 3ème piste mais cette piste reste tout de même non-utilisée de manière globale sur tous les réseaux bancaires. Cette piste est même parfois non-présente sur certaines cartes.

L’ensemble de cette information est donc lu par le terminal lors du glissement de la carte dans celui-ci. Certaines cartes chiffrent les données privées avec l’algorithme DES (Data Encryption Standard). Si les données sont chiffrées, la carte le détectera grâce à son numéro de service et demandera donc à l’utilisateur de saisir son code PIN pour déchiffrer les informations. Le terminal détient alors toutes les informations dont il a besoin pour générer la transaction EMV.

II.1.5 Faiblesses et attaques possibles
II.1.5.1 Clonage

La bande magnétique est un système relativement simple puisque les informations sont encodées lors de l’écriture. Un simple glissement suffit à lire les données.
Cette méthode peu sécurisée revient à recopier ses informations bancaires sur un papier et à les transmettre au commerçant. N’importe qui disposant d’un lecteur de bandes magnétiques peut lire les informations bancaires de la carte. Si les informations privées ne sont pas chiffrées, il suffit alors de recopier bit par bit les données sur une carte vierge qui pourra ensuite être utilisée au même titre que la carte d’origine.

II.1.5.2 Modification des données

Face au nombre de cartes clonées qui ne cesse d’augmenter, les transactions par bande magnétique disparaissent peu à peu. Les terminaux de paiement ont reçu une mise à jour qui a pour but de refuser les transactions par bande magnétique et d’imposer à l’utilisateur d’insérer sa carte dans le terminal. Toutefois, il existe aux USA un grand nombre de cartes sans puce. Il a donc fallu gérer la possibilité qu’une carte n’ait pas de puce. Lorsqu’un utilisateur glisse sa carte dans le lecteur pour faire une transaction par bande magnétique, le terminal lit le numéro de service qui permet de déterminer si la carte a une puce ou non. Si une puce est présente, le terminal va alors obliger l’utilisateur à insérer la puce dans celui-ci. Si la carte ne possède pas de puce, le terminal n’a alors pas d’autre choix que de traiter la transaction par bande magnétique.

Cette nouvelle mécanique a, dans un premier temps, été très efficace car les cartes à puces ont commencé à se démocratiser très rapidement, rendant certaines bases de données d’informations bancaires volées sur les bandes magnétiques inutilisables. Toutefois des chercheurs ont démontré qu’il était possible d’altérer les données sur la bande magnétique et de modifier le numéro de service pour faire croire au terminal que la carte ne possède pas de puce. On peut ainsi retrouver sur le dark web des bases de données d’informations bancaires volées pouvant être altérées et copiées sur une carte vierge.

II.2 La Puce EMV
II.2.1 Présentation
En 1995, le Standard International des cartes de paiement à puce voit le jour sous le nom Europay, Mastercard, Visa (EMV), ses 3 organismes fondateurs. Il est aujourd’hui géré par EMVCo, une société privée détenue à parts égales par JCB International, American Express, Mastercard, China UnionPay, Discover Financial et Visa Inc.

Ce Standard impose la présence de puces électroniques sur les cartes bancaires, garantissant une sécurité largement supérieure à la bande magnétique qui restera tout de même installée au dos des cartes afin de garantir une rétro-comptabilité. Cette sécurité est principalement due au chiffrement et aux méthodes d’authentification proposées par la carte, dans le but de réduire considérablement les fraudes, fort coûteuses pour les instituts bancaires. En complément de la sécurité renforcée, le standard EMV propose également des applications disponibles sur la carte comme le débit/crédit, les points de fidélité, le portefeuille électronique, et les protocoles d’authentification forte. Pour la France, l’adoption du standard EMV par le système national Cartes Bancaires a eu lieu en 2006. Aujourd’hui, la globalité de l’Europe a adopté le Standard, tandis que certains pays dépassent tout juste les 50% de carte EMV. En 2015, les Etats-Unis ont été le dernier pays du G12 à adopter le Standard, ce qui explique le grand nombre de cartes sans puce en circulation.
Pourcentage de transaction par carte EMV par zone géographique entre 2017 et 2018

Worldwide EMV Deployment Statistics

II.2.2 Fonctionnement

Le standard EMV est défini par un ensemble de 4 livres détaillant le fonctionnement très complexe des échanges entre les différents organismes bancaires. Un échange EMV s’effectue toujours via 4 acteurs :
• Le client via la carte bancaire
• Le marchant via le Terminal de Paiement Electronique (TPE)
• La banque émettrice de la carte (Emetteur)
• Une Autorité de Certification (CA)

La première étape consiste à authentifier la carte auprès du terminal. Pour cela, plusieurs méthodes sont possibles et seront expliquées ci-après. La carte communique alors des informations telles que ; le numéro de la carte, la date d’expiration, le type de carte, la banque émettrice, etc. En quelques millisecondes, le terminal et la carte vont effectuer plusieurs échanges suivant le protocole défini par la norme ISO/IEC 7816-3
.
Ces échanges construisent une transaction EMV et sont signés par la carte via sa clé privée. Cet échange va ensuite être transmis du terminal de paiement vers le réseau bancaire distant (MasterCard, Visa, etc) qui va approuver ou non la transaction en fonction de plusieurs critères (fond suffisant, carte bloquée, plafond dépassé, etc). La réponse est finalement remontée jusqu’au terminal affichant la conclusion de la transaction.

II.2.2.1 Méthodes d’authentification

Le clonage de carte étant très courant avec les cartes à bande magnétique, le standard EMV se devait d’implémenter une méthode d’authentification forte pour empêcher toute transaction avec des répliques de carte EMV. Le fonctionnement du standard détaille donc 3 méthodes d’authentification pour éviter le clonage.

Static Data Authentification (SDA) :

Lors de la personnalisation, l’émetteur choisit les données statiques (propre à la carte et identique pour toutes les transactions) qu’il souhaite sceller. Ces données sont hâchées puis signées à l’aide de la clé privée de l’émetteur pour former le SSAD (Signed Static Application Data). Ce champ est stocké dans la puce, au même titre que les données statiques.

Etape de personnalisation de l’authentification SDA

L’authentification des données

Lors de la transaction, le terminal lit toutes les données de la puce, et récupère la clé publique de l’émetteur. Il va ensuite déchiffrer le SSAD pour obtenir le hash fourni par l’émetteur lors de personnalisation. En parallèle, il hash les données statiques lues précédemment et compare les 2 hash. Si ceux-ci sont identiques, cela garantit que la carte a bien été enregistré par l’émetteur, sinon cela indique que la carte est une contrefaçon.

Authentification SDA

L’authentification des données

Cette méthode d’authentification est apparue en même temps que la première version du standard EMV en 1995. Elle est très efficace pour éviter la création de fausses cartes, mais elle ne résout en rien la fraude par le clonage. En effet, toutes les informations utilisées pour authentifier la carte sont lisibles et statiques. Le clonage est alors facilement réalisable en recopiant toutes les données de la puce sur une puce vierge. De plus, l’authentification SDA possède une faille conceptuelle. Si la clé privée de l’émetteur est compromise, toute les cartes délivrées par cet émetteur deviennent caduques, car n’importe qui serait en possibilité de générer de SSAD valide.

Dynamic Data Authentication (DDA) :

Face à ces problèmes, le standard EMV a dû évoluer et a donc créé l’authentification DDA. Cette méthode a pour but de rendre la carte impossible à cloner, mais pour cela, la puce à dû être légèrement modifiée. Cette nouvelle forme d’authentification se base sur un calcul cryptographique qui devra être réalisé par la puce qui embarque dorénavant un crypto processeur. Le coût de production d’une carte est relativement élevé, mais celle-ci améliore sensiblement la sécurité. En France, tous les cartes intègrent au minimum ce mode d’authentification.

Lors de la personnalisation, l’émetteur génère une paire de clés uniques pour la puce. Il enregistre la clé privée dans la zone secrète de la puce et établit un certificat relatif à la puce contenant la clé publique générée. Ce certificat est ensuite signé à l’aide de la clé privée de l’émetteur et est stocké dans la puce.

Lors de la transaction, lorsque le terminal lit toutes les données de la puce, il récupère la clé publique de l’émetteur puis le certificat de la puce qu’il déchiffre à l’aide de la clé publique de l’émetteur afin de récupérer sa clé publique et d’être garanti de sa provenance.
Le terminal génère alors un nombre aléatoire qu’il envoie à la carte. Celle-ci concatène ce nombre avec un autre nombre dynamique qu’elle génère (par exemple via un compteur). Ces 2 nombres forment un ICC Dynamic Number que la puce va hâcher et signer avec sa clef privée (gardé en zone secrete). Le résultat appelé Signed Dynamic Application Data (SDAD) est renvoyé au terminal.

Génération du SDAD

L’authentification des données

De son côté, le terminal utilise la clé publique de la puce pour déchiffrer le SDAD et calcule le hash du nombre aléatoire qu’il a fourni. Si les 2 hash sont identiques, cela prouve au terminal que la puce a pu générer une signature à partir d’une information qu’elle ne connaissait pas au préalable, et donc qu’elle possède la bonne clé privée dans sa zone secrète.

Vérification du SDAD

L’authentification des données

Cette méthode est relativement efficace et rend impossible le clonage et la création de fausses cartes car la clé privée n’est pas accessible et cette clé doit forcément provenir de l’émetteur. Toutefois, cette méthode pose un léger problème car l’authentification des données a lieu avant l’autorisation de la transaction, ce qui laisse la possibilité de modifier les données même une fois le puce authentifiée.

Combined Data Authentication (CDA) :

Afin de pallier à ce nouveau problème, le standard EMV a dû encore évoluer pour instaurer la méthode CDA. Celle-ci garantit une intégrité des données du début jusqu’à la fin. Pour cela, la puce ne nécessite pas d’ajout matériel mais le crypto-processeur sera toutefois beaucoup plus utilisé. Cette méthode d’authentification étant beaucoup plus complexe, une explication en détail serait impossible.
Cependant, on peut expliquer cette méthode en résumant le fait que l’authentification CDA utilise un système similaire à l’authentification DDA pour authentifier toutes les variables nécessaires à la transaction.

II.3 Faiblesses et attaques possibles
II.3.1.1 Rapid7 Attack

Rapid7 est une société d’édition de solutions de sécurité des données. En 2016, lors de la Black Hat aux USA, une équipe de chercheurs de cette société a présenté une attaque sur les distributeurs automatiques de billets (DAB).
Pour cette attaque, le fraudeur doit préalablement installer un shimmer dans le lecteur du distributeur. Un shimmer est un dispositif très fin venant se positionner entre la puce et le lecteur de la cartes. Ce dispositif peut donc intercepter tous les échanges entre la carte et le DAB. Les shimmers ont été beaucoup utilisés lors des premières cartes à puce EMV. Comme la méthode d’authentification SDA laissait la possibilité de cloner des cartes en connaissant les informations qu’elle communique, les shimmers étaient présents sur beaucoup de DAB dans les zones touristiques afin de récupérer un maximum de données.

Photo de 3 shimmers
https://krebsonsecurity.com/2017/01/atm-shimmers-target-chip-based-cards/
Une fois le shimmer installé, l’attaquant attend qu’une victime vienne retirer de l’argent. Les données interceptées sont alors envoyées sur le téléphone du fraudeur. Depuis ce téléphone l’attaquant peut alors traiter les données et les envoyer sur un appareil que les chercheurs ont appelé « La-Cara ». Cet appareil serait fabricable pour environ 2000$ avec des composants électroniques se trouvant sur le marché. La-Cara est ensuite positionnée dans le lecteur de carte du DAB, elle n’est pas un clone d’une carte mais elle émule la carte de la victime faisant des retraits d’argent.
Le distributeur va alors faire sortir des billets jusqu’à ce que le compte soit vidé ou plafonné.

L’équipe de Rapid7 a fourni très peu d’informations sur les techniques utilisées lors de cette attaque, mais elle a détaillé toutes les explications nécessaires aux banques et aux fabricants de DAB vulnérables afin de corriger les failles utilisées.
II.3.1.2 Attaque par relais

L’attaque par relais est présente dans de nombreux domaines. Elle consiste à relayer bit par bit les échanges entre la carte et un terminal vers un autre terminal sans que l’utilisateur s’en aperçoive.
Afin de détailler cette attaque, nous allons imaginer un scénario comprenant les personnages suivants :
• Alice, une cliente innocente
• Bob, un fraudeur travaillant en tant que serveur dans un restaurant.
• Carol, complice de bob
• Dave, un commerçant honnête ne connaissant ni Alice, Bob ou Carol.
Alice se trouve dans le restaurant où travaille Bob et elle est sur le point de régler son déjeuner. Pendant ce temps, Carol se trouve dans la bijouterie de Dave et est en communication avec Bob (par téléphone, SMS, etc). Quand Alice est sur le point d’insérer sa carte dans le terminal du restaurant, Carol est alors alertée par Bob, c’est le signal pour que celle-ci insère sa carte modifiée dans le terminal de la bijouterie afin d’acheter un bijou à 2000€. Lorsque Alice tape son code PIN et pense payer le restaurant, elle ne sait pas qu’en réalité le terminal est relié à un ordinateur communiquant avec un dispositif dans le sac de Carol transmettant toutes les informations sur le terminale de Dave. La transaction est donc approuvée, Dave a vendu le bijou à Carol mais c’est Alice qui l’a payé sans en avoir conscience.

Illustration du scénario
https://www.cl.cam.ac.uk/research/security/banking/relay/
Cette attaque reste cependant difficilement réalisable car d’une part, cela nécessite une très bonne coordination de Bob et Carole, et par ailleurs, la plupart des terminaux affichent désormais le montant de la transaction. De plus, la mise en place du matériel par Carol n’est pas très aisée.

Photo de la carte à puce modifier
https://www.cl.cam.ac.uk/research/security/banking/relay/

II.4 Le Paiement sans contact
II.4.1 Présentation

Le paiement sans contact est une méthode de paiement récemment installée sur les cartes bancaires. L’objectif est de faciliter les transactions et de les rendre plus rapides.
Aujourd’hui, un paiement, d’un montant inférieur à 30 euros, peut se faire simplement en approchant une carte bancaire à quelques centimètres d’un terminal équipé, sans avoir à demander au propriétaire de la carte son code ou sa signature.

En France, les premières expérimentions ont commencé en 2010, mais ce n’est qu’à partir de fin 2013 que son arrivée est annoncée au grand public. Cette nouvelle méthode de paiement s’est ensuite rapidement démocratisée. En 2015, 44% des cartes en étaient équipées puis 62% en 2016, pour un total de 71% en décembre 2017, soit 47,2 millions de cartes bancaires, d’après la dernière étude menée par le « Groupement des cartes bancaires CB ».

Cette forte croissance est due en grande partie aux banques qui ont équipé les cartes bancaires de façon systématique. Le cap du milliard de transactions sans contact a été franchi en 2017 en France. Toutefois, beaucoup de français sont réticents à cette technologie en raison d’un manque de confiance, de certaines hésitations sur la peur du vol, l’insécurité des données personnelles ou même la peur d’une mauvaise utilisation.

II.4.2 Fonctionnement

Le paiement sans contact utilise la technologie de communication sans fil NFC (Near Field Communication), une extension du RFID (Radio Frequency Identification). L’utilisation du NFC présente plusieurs avantages, cette technologie permet une communication dite ‘passive’ composée d’un lecteur alimenté en énergie et d’un tag passif non connecté à une source d’énergie. De plus, les communications peuvent s’effectuer seulement à quelques dizaines de centimètres au maximum, ce qui réduit la possibilité d’échanges non volontaires.
Les deux grands avantages du paiement sans contact sont directement liés au mode de fonctionnement du NFC. La communication avec un élément sans source d’énergie est possible car le lecteur alimente le ou les tags à proximité grâce à l’émission d’un champ magnétique de 13.56MHz. Celui-ci permet d’alimenter et de communiquer avec le tag. Il reçoit donc l’énergie nécessaire pour interpréter les données envoyées par le lecteur et va alors faire varier son impédance pour répondre au lecteur à un débit variant de 106 à 848 kbit/s. C’est grâce à cette alimentation par champs magnétiques de 13.56MHz que la communication peut s’effectuer à courte portée uniquement.
Lorsque qu’une carte passe à proximité d’un terminal de paiement, celui-ci va donc alimenter la carte et s’authentifier afin d’établir une transaction EMV.

II.4.3 Faiblesses et attaques possibles
II.4.3.1 Vol d’informations

Le vol d’informations est certainement la faille la plus importante du paiement sans contact en raison du grand nombre d’outils et d’applications mis publiquement à disposition. Pour copier les informations d’une carte bancaire, équipée du sans contact, il suffit d’approcher un lecteur NFC à une distance suffisamment proche pour que celle-ci puisse être alimentée et communiquer toutes ses informations dites ‘publiques’, cela inclut :

• Les ID et applications présentes sur la carte (crédit, débit, porte-monnaie virtuel ou autre)
• Le numéro de carte bancaire
• La date d’expiration de la carte
• Le type de carte (Mastercard/Visa, banque émettrice…)
• L’historique des transactions (désactivé sur certaines cartes)

Ces informations ne suffisent pas pour effectuer une transaction en magasin. Le code confidentiel, le cryptogramme visuel au dos de la carte ainsi que l’identité du possesseur ne sont pas communiqués. Cependant, dans l’hypothèse où une tierce personne mal intentionnée parviendrait à obtenir ces données, elle pourrait tout de même effectuer des achats sur certains sites rares ne réclamant pas le cryptogramme visuel.
La lecture de ces informations peut se faire avec n’importe quel téléphone Android équipé du NFC. Bien évidemment, la portée de lecture de ces téléphones n’excède pas la dizaine de centimètres. Toutefois, il est possible de se procurer une antenne plus performante et de monter le tout sur une carte embarquée de type Raspberry Pi pour augmenter la portée à un peu moins d’un mètre. Cette méthode permet de récupérer un certain nombre de cartes dans les lieux publics de très haute densité (transports en commun, files d’attente, ascenseurs, centres commerciaux, etc).

II.4.3.2 Rejeu de transaction

Le rejeu de transaction ou ‘replay attack’ consiste à intercepter une transaction pour la renvoyer vers un autre destinataire. En principe, cette attaque est impossible car la transaction renvoyée a déjà été validée, ce qui la fait échouer. Ce vecteur d’attaque reste cependant possible grâce à deux principes du standard EMV :

• La validation d’une transaction ne dépend pas du terminal sur lequel elle a été effectuée. Cela signifie qu’une transaction peut être créée par un terminal puis envoyée au réseau de validation depuis un autre terminal. Néanmoins, de plus en plus de terminaux de paiement intègrent des sécurités comme des sommes de contrôles pour éviter cette situation.

• Certains terminaux de paiement disposent d’une mémoire tampon stockant les transactions EMV en attente si le réseau de validation est indisponible.

On peut donc imaginer un scénario avec un commerçant qui utilise un terminal de paiement en communication GSM avec le réseau de validation. Un attaquant pourrait donc venir brouiller la communication GSM et intercepter les transactions sans contact avec ce terminal. Pour le commerçant, la transaction est approuvée mais pas validée. Elle reste en attente sur le terminal. Pendant ce temps, l’attaquant peut alors renvoyer la transaction interceptée à un terminal de son choix qui va venir valider la transaction et recevoir l’argent. Lorsque l’attaquant met fin au brouillage, le terminal du commerçant retrouve le contact avec le réseau et tente donc de valider la transaction en attente qui sera refusée car celle-ci a déjà été validée. Le client de son côté à bien été débité de la somme correspondante mais celle-ci n’a pas été reçue par le commerçant.

II.4.3.3 Attaque par relais

L’attaque par relais ou ‘relay attack’ est sans doute l’attaque la plus redoutable. Son principe consiste à utiliser 2 appareils entre le terminal de paiement et la carte bancaire dans le but de relayer leur dialogue sur une plus grande portée.
On peut, par exemple, utiliser 2 téléphones NFC, l’un près d’une carte sans contact qui agira en tant qu’appareil relais, et l’autre servant de proxy pour le relais au niveau d’un terminal de paiement. Dans cette situation, la carte bancaire sera donc alimentée par le téléphone relais qui communique en wifi avec le téléphone proxy devant le terminal de paiement. Ainsi, par l’intermédiaire des 2 téléphones, toutes les informations émises par le terminal seront retransmises à la carte et inversement. On peut illustrer cette situation avec le schéma suivant :

On peut étendre les possibilités en remplaçant les téléphones par d’autres objets connectés, comme par exemple une Raspberry Pi, cela permettra de faire communiquer les 2 appareils sur une distance bien plus grande via le réseau GSM ou même LoRaWAN.
Cette attaque permet d’imaginer plusieurs scénarios possibles où un attaquant pourrait voler de l’argent à une victime possédant une carte sans contact :

• L’attaquant pourrait profiter des lieux publics à très haute densité (transports en commun, files d’attente, ascenseurs, centres commerciaux, etc) pour scanner les cartes sans contact dans les environs proches avec un appareil en mode relais faisant office de passerelle avec un autre appareil en mode proxy à l’abord d’un terminal de paiement. Ce terminal de paiement peut être celui d’un magasin quelconque, cela permettra à l’attaquant d’utiliser la carte de la victime pour effectuer un achat, mais ce terminal peut également appartenir à l’attaquant ce qui signifie qu’il peut choisir le montant mais également qu’il sera le destinataire de ce transfert d’argent.

• L’attaquant peut également être un commerçant mal intentionné ayant déguisé un appareil en mode relais en un terminal de paiement. Cet appareil serait relié à un autre appareil en mode proxy devant un véritable terminal de paiement. Dans cette situation, un commerçant pourrait donc simuler une transaction de 5€ sur son terminal déguisé, mais au final lorsqu’un client va poser sa carte sur l’appareil pensant payer 5€, le faux terminal va alors communiquer avec le véritable terminal sur lequel le commerçant a initié au préalable une transaction de 20€.

L’attaque par relais est donc très dangereuse car elle permet d’effectuer des achats sans le consentement du propriétaire de la carte ou alors de changer le montant initialement prévu. La victime peut se faire voler plusieurs centaines d’euros sans s’en apercevoir car certains pays n’imposent pas de limite pour les paiements sans contact sauf pour de très gros montants. En France, l’ampleur des dégâts est limitée car un plafond est établi et seulement 3 transactions sans contact par jour sont autorisées. Ce plafond est aujourd’hui à 30€ par transactions ou 20€ pour les cartes bancaires datant d’avant octobre 2017. Cependant une faille avait été découverte il y quelques années permettant d’ignorer le plafond en changeant la devise de paiement, cette faille est maintenant corrigée sur la plupart des terminaux de paiement.