La carte bancaire toujours vulnérable par sa piste magnétique Par Christophe Guillemin, ZDNet France
Vendredi 12 septembre 2003
Réagissez à cet article.
Depuis le début de l’année, le piratage de cartes bancaires est en hausse. Il repose sur un procédé artisanal qui duplique la piste magnétique d’une CB lors d’un retrait d'espèces. Pour le groupement des CB, les distributeurs de billets sont en cause.
La sécurité de la carte bancaire est à nouveau mise à mal. Après le problème des "yes card", ces cartes bancaires factices bluffant les terminaux CB, une escroquerie potentiellement plus grave fait actuellement parler d'elle.
Le procédé est simple: les fraudeurs sont en mesure de copier une carte à partir du signal radio émis lors de la lecture de sa piste magnétique dans un distributeur automatique de billets (DAB) ou de carburants. Contrairement au procédé "yes card", la puce de la carte n'intervient pas dans le tour de passe-passe. Une fois clonée grâce à la signature magnétique, elle pourra ensuite être utilisée frauduleusement dans des commerces à l'étranger, comme la Belgique ou l'Italie, où les terminaux CB sont encore basés sur la seule lecture de la piste (les fameux "sabots"). Mais pour berner les DAB, il faut connaître le code PIN à quatre chiffres; les escrocs y parviennent grâce à une mini-caméra astucieusement placée.
Une filière étrangère sévit à Paris
Ce système n'est pas nouveau. Baptisé par les experts "White plastic", du nom des premières cartes vierges utilisées, de couleur blanche, les premiers cas de fraude en France datent de 2000, et remontent à 1998 à l'étranger.
Mais depuis le début de l'année, la police parisienne observe une «recrudescence» de ce type d'escroqueries qui laisse présager «une filière», nous explique-t-on à la Brigade des fraudes aux moyens de paiement (BFMP), l'une des unités de police judiciaire de la préfecture de police de Paris.
Cette brigade a ainsi traité dix affaires similaires sur les douze derniers mois, dont la dernière remonte au 21 août. Un homme d'origine roumaine était interpellé alors qu'il enlevait d'un distributeur de billets un de ces appareillages permettant de surveiller les retraits.
«C'est la goutte qui a fait débordé le vase, nous avons donc décidé d'alerter le public sur ce type d'escroqueries», explique à ZDNet Patrick Moigne, commissaire principal de la BFMP.
Caméras miniatures et logiciels en accès libre
Le principe est toujours le même: une caméra miniature est disposée en haut du distributeur, afin d'épier la saisie du code de la carte bancaire, explique le responsable. La fente du distributeur, où est insérée la carte, a également été piégée. Un nouveau lecteur de piste magnétique remplace, par superposition, celui de l'automate.
L'ensemble du dispositif est relié par ondes radio à un ordinateur qui reçoit toutes les infos à distance. Non loin dans une voiture, les fraudeurs disposent donc du code de la carte et de ses données magnétiques. Grâce à une "encodeuse", un boîtier relié au PC permettant d'enregistrer la piste magnétique d'une carte vierge, ils vont créer une réplique de la carte originale, sans la puce bien évidemment.
«Un logiciel permet de réaliser cette carte à partir des données recueillies; il est disponible sur le net, ce qui pose problème», poursuit Patrick Moigne. En effet, auparavant, les fraudeurs devaient obtenir ce type de programme auprès de pirates professionnels. Aujourd'hui, il leur suffit d'une bonne adresse internet. L'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), une unité de la Direction centrale de la police judiciaire (DCPJ), est également sur le coup, nous confirme-t-on à la brigade.
Des cartes pirates pour l'étranger
Le groupement d'intérêt économique des cartes bancaires (GIE CB), qui réunit la totalité des banques françaises et est responsable de la sécurité du réseau CB, minimise le risque de fraude pour le consommateur français: «Ces cartes ainsi copiées ne peuvent être utilisées frauduleusement qu'à l'étranger, pour des opérations de retrait d'espèces ou de paiement sur des matériels ne lisant que la piste magnétique des cartes bancaires.»
La fiabilité de la carte à puce n'est pas remis en cause, insiste-t-on au GIE CB, qui préfère montrer du doigt les distributeurs. «Nous travaillons activement avec les banques, les organisations du commerce et les industriels sur des mesures permettant de renforcer la sécurité de ces appareils», indique-t-il dans un communiqué. Ce dernier a été diffusé juste après que la brigade parisienne a alerté la presse, début septembre, sur la "filière roumaine" découverte cet été. «Ce type de fraudes n'est pas lié au système monétique lui-même, mais à des pratiques de contournement qui utilisent les infrastructures physiques de l'automate attaqué», maintient le GIE CB. De nouveaux automates, plus sécurisés, sont également en cours de développement.
Pour autant, le problème, c'est-à-dire la facilité de dupliquer la piste magnétique d'une CB, reste entier. Est-il par exemple possible de protéger la piste à la source, sur la carte elle-même, ce qui serait plus efficace que d'attendre que tous les DAB de France et d'Europe soient remplacés? Le GIE CB n'a pas encore été en mesure de nous mettre en relation avec l'un de ses experts en sécurité pour répondre sur ce point.
Au final, le groupement conseille de cacher d'une main la saisie du code «à chaque fois que l'on paye avec une carte bancaire».
Vendredi 12 septembre 2003
Réagissez à cet article.
Depuis le début de l’année, le piratage de cartes bancaires est en hausse. Il repose sur un procédé artisanal qui duplique la piste magnétique d’une CB lors d’un retrait d'espèces. Pour le groupement des CB, les distributeurs de billets sont en cause.
La sécurité de la carte bancaire est à nouveau mise à mal. Après le problème des "yes card", ces cartes bancaires factices bluffant les terminaux CB, une escroquerie potentiellement plus grave fait actuellement parler d'elle.
Le procédé est simple: les fraudeurs sont en mesure de copier une carte à partir du signal radio émis lors de la lecture de sa piste magnétique dans un distributeur automatique de billets (DAB) ou de carburants. Contrairement au procédé "yes card", la puce de la carte n'intervient pas dans le tour de passe-passe. Une fois clonée grâce à la signature magnétique, elle pourra ensuite être utilisée frauduleusement dans des commerces à l'étranger, comme la Belgique ou l'Italie, où les terminaux CB sont encore basés sur la seule lecture de la piste (les fameux "sabots"). Mais pour berner les DAB, il faut connaître le code PIN à quatre chiffres; les escrocs y parviennent grâce à une mini-caméra astucieusement placée.
Une filière étrangère sévit à Paris
Ce système n'est pas nouveau. Baptisé par les experts "White plastic", du nom des premières cartes vierges utilisées, de couleur blanche, les premiers cas de fraude en France datent de 2000, et remontent à 1998 à l'étranger.
Mais depuis le début de l'année, la police parisienne observe une «recrudescence» de ce type d'escroqueries qui laisse présager «une filière», nous explique-t-on à la Brigade des fraudes aux moyens de paiement (BFMP), l'une des unités de police judiciaire de la préfecture de police de Paris.
Cette brigade a ainsi traité dix affaires similaires sur les douze derniers mois, dont la dernière remonte au 21 août. Un homme d'origine roumaine était interpellé alors qu'il enlevait d'un distributeur de billets un de ces appareillages permettant de surveiller les retraits.
«C'est la goutte qui a fait débordé le vase, nous avons donc décidé d'alerter le public sur ce type d'escroqueries», explique à ZDNet Patrick Moigne, commissaire principal de la BFMP.
Caméras miniatures et logiciels en accès libre
Le principe est toujours le même: une caméra miniature est disposée en haut du distributeur, afin d'épier la saisie du code de la carte bancaire, explique le responsable. La fente du distributeur, où est insérée la carte, a également été piégée. Un nouveau lecteur de piste magnétique remplace, par superposition, celui de l'automate.
L'ensemble du dispositif est relié par ondes radio à un ordinateur qui reçoit toutes les infos à distance. Non loin dans une voiture, les fraudeurs disposent donc du code de la carte et de ses données magnétiques. Grâce à une "encodeuse", un boîtier relié au PC permettant d'enregistrer la piste magnétique d'une carte vierge, ils vont créer une réplique de la carte originale, sans la puce bien évidemment.
«Un logiciel permet de réaliser cette carte à partir des données recueillies; il est disponible sur le net, ce qui pose problème», poursuit Patrick Moigne. En effet, auparavant, les fraudeurs devaient obtenir ce type de programme auprès de pirates professionnels. Aujourd'hui, il leur suffit d'une bonne adresse internet. L'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), une unité de la Direction centrale de la police judiciaire (DCPJ), est également sur le coup, nous confirme-t-on à la brigade.
Des cartes pirates pour l'étranger
Le groupement d'intérêt économique des cartes bancaires (GIE CB), qui réunit la totalité des banques françaises et est responsable de la sécurité du réseau CB, minimise le risque de fraude pour le consommateur français: «Ces cartes ainsi copiées ne peuvent être utilisées frauduleusement qu'à l'étranger, pour des opérations de retrait d'espèces ou de paiement sur des matériels ne lisant que la piste magnétique des cartes bancaires.»
La fiabilité de la carte à puce n'est pas remis en cause, insiste-t-on au GIE CB, qui préfère montrer du doigt les distributeurs. «Nous travaillons activement avec les banques, les organisations du commerce et les industriels sur des mesures permettant de renforcer la sécurité de ces appareils», indique-t-il dans un communiqué. Ce dernier a été diffusé juste après que la brigade parisienne a alerté la presse, début septembre, sur la "filière roumaine" découverte cet été. «Ce type de fraudes n'est pas lié au système monétique lui-même, mais à des pratiques de contournement qui utilisent les infrastructures physiques de l'automate attaqué», maintient le GIE CB. De nouveaux automates, plus sécurisés, sont également en cours de développement.
Pour autant, le problème, c'est-à-dire la facilité de dupliquer la piste magnétique d'une CB, reste entier. Est-il par exemple possible de protéger la piste à la source, sur la carte elle-même, ce qui serait plus efficace que d'attendre que tous les DAB de France et d'Europe soient remplacés? Le GIE CB n'a pas encore été en mesure de nous mettre en relation avec l'un de ses experts en sécurité pour répondre sur ce point.
Au final, le groupement conseille de cacher d'une main la saisie du code «à chaque fois que l'on paye avec une carte bancaire».