Une faille découverte dans les cartes EMV

Après une première démonstration en 2010 [1] de la fragilité des cartes bancaires, l’équipe de Stephen Murdoch et Ross Anderson de l’université de Cambridge a découvert une nouvelle faille dans les cartes EMV. Celle-ci, détaillée dans leur article « Chip and Skim: cloning EMV cards with the pre-play attack [2] », permet de cloner dans certaines conditions des cartes EMV. Le problème est situé au niveau de certaines implémentations EMV qui n’utilisent pas des méthodes assez efficaces pour la génération de nombre aléatoire lors du rafraîchissement des transactions. Loin d’être une faille technique, dans son blog, Mike Bond [3] explique que ce défaut affecte de nombreux distributeurs automatiques de billets et terminaux de paiement courants. Pour Jean-Marc Bornet [4] , l’administrateur du groupement Cartes Bancaires, le risque est nul. À condition que ces implémentations d’EMV trop légères soient corrigées ?

1 Voir le Cahier nouvelles technologies, Revue Banque n° 722, mars 2010.

2 L’article complet est à télécharger en anglais et au format PDF ici : www.cl.cam.ac.uk/~rja14/Papers/unattack.pdf.

3 http://www.lightbluetouchpaper.org/2012/09/10/chip-and-skim-cloning-emv-cards-with-the-pre-play-attack/.

4 Lire à ce sujet, dans ce même numéro, l'interview de Jean-Marc Bornet.