La carte bancaire est vulnérable !
Un pirate interne à un réseau bancaire peut capturer le code PIN de n'importe quelle carte bancaire. Le niveau d'expertise nécessaire n'est pas très élevé.
La société israélienne Algorithmic Research (ARX), spécialisée dans la sécurisation des données et la signature électronique, a profité du salon Cartes 2006, début novembre à Paris, pour publier une faille sérieuse touchant l'univers bancaire. Une faille découverte par Omer Berkman, alors doctorant au collège académique de Tel-Aviv Yaffo, et Odelia Ostrovsky, responsable des produits HSM PrivateServer d'ARX. L'attaque exploite un défaut inhérent à la manière dont les codes PIN des distributeurs automatiques de billets sont cryptés et transmis sur les réseaux bancaires internationaux, les rendant vulnérables à un pirate interne à une banque. Ce dernier pourra découvrir le code PIN des cartes bancaires, qu'elles soient de simples cartes magnétiques ou au standard EMV. Il y a six mois, ARX a contacté les organisations internationales, comme Visa, sans susciter de réaction immédiate de leur part. ' Cette nouvelle série d'attaques ne requiert pas un très haut niveau d'expertise. Il n'est pas nécessaire d'être un cryptographe, s'inquiète Ari Seror, directeur des services professionnels d'ARX. Le code PIN peut être récupéré dès le premier essai. 'Pour Bruce Schneier, expert en cryptographie et fondateur de Counterpane Internet Security (racheté récemment par BT), ' un des aspects les plus dérangeants est que vous êtes seulement aussi sécurisé que la banque la moins sécurisée du réseau '. Autrement dit, ' ce n'est pas seulement à la banque émettrice de votre carte bancaire que vous devez faire confiance, mais au réseau auquel elle appartient '.