Plan Fonctionnement des cartes bancaires Skimming YesCarding
Format EMV PIN Spoofing Attaque des DAB Conclusion SRS Day @ EPITA
- 17 novembre 2010 2
Page 3
Rappel lgislatif Article 67-1/2 (Loi n91-1382 du 30 dcembre
1991) Qui a contrefait ou falsifi une carte de paiement ou utilis
en connaissance de cause une carte falsife ou mme accept le
paiement dune carte falsifie Jusqu 760 000 damende et 7 ans de
prison SRS Day @ EPITA - 17 novembre 2010 3
Page 4
Fonctionnement des cartes bancaires Authentification de la
carte Authentification du porteur Le lecteur transmet les quatre
chiffres la carte pour validation Authentification par le centre
bancaire (optionnelle) SRS Day @ EPITA - 17 novembre 2010 4
Page 5
Fonctionnement des cartes bancaires Droulement dune transaction
SRS Day @ EPITA - 17 novembre 2010 5 1)Le terminal de paiement
mmorise toutes les transactions de la journe 2)Connexion au centre
bancaire et envoi de la liste des transactions 3)Rclamation des
sommes auprs des banques des acheteurs 4)La banque du commerant
prlve ses taxes 5)La banque du commerant lui restitue la somme
restante
Page 6
Skimming Duplication dune carte bancaire lgitime Rcupration du
numro de la carte Rcupration du code PIN SRS Day @ EPITA - 17
novembre 2010 6 Apposition dun lecteur de bande magntique Zones
privilgies pour le placement dun quipement de skimming Camra cache
dans le porte document
Page 7
Dtection dun module de skimming Mesure de lpaisseur des lment
du distributeur et alerte automatique La meilleure protection reste
la prvention Chercher un ventuel cache plac sur le lecteur Cacher
son code PIN avec sa main viter les personnes trop serviables
Vrifier ses comptes rgulirement Lutte contre le skimming SRS Day @
EPITA - 17 novembre 2010 7
Page 8
YesCarding Cest la carte qui confirme au terminal que le PIN
est le bon Un simple lecteur de carte puce et un PC suffisent
Yescard: Rpond toujours oui le PIN est bon Il reste tromper
lauthentification de la carte Pour cela deux mthodes: Yescard clne
dune carte authentique Yescard Humpich, cre de toute pice SRS Day @
EPITA - 17 novembre 2010 8
Page 9
YesCard Humpich SRS Day @ EPITA - 17 novembre 2010 9
Lauthentification statique (SDA) fonctionne car linformation
bancaire factice est chiffre avec la bonne cl La vrification du PIN
galement car la carte rpond toujours OUI La vrification en ligne
chouera, mais nest pas systmatique La carte sera blackliste le soir
mme par la banque
Page 10
Lutte contre le Yescarding Raison du passage prcipit au format
EMV La cl RSA passe de 320 bits 768 bits SDA encore beaucoup
utilise pour des raisons conomiques YesCards Humpich aujourdhui
considres inexploitables (99% des DAB et terminaux ont t remplacs)
mais pour encore combien de temps ? (Record de cl RSA casse par
lINRIA: 768 bits) SRS Day @ EPITA - 17 novembre 2010 10
Page 11
NORME EMV 11 SRS Day @ EPITA - 17 novembre 2010 Standard
international remplaant le format BO` Authentification de la carte
plus forte SDA (vrifie une donne signe mise dans la carte lors de
sa cration. La cl RSA est pass 768 bits) DDA (vrifie en plus que la
carte connat un secret fourni par la banque. Le rejeu nest plus
possible et donc plus de YesCard) CDA (assure en plus que la carte
utilise pour la transaction est la mme que celle utilise pour
lauthentification) Authentification en ligne Passage du DES un
Triple DES avec une cl unique propre chaque transaction
Page 12
PIN SPOOFING 13 SRS Day @ EPITA - 17 novembre 2010 Permet
dutiliser une carte bancaire sans connatre le PIN Fonctionnel sur
les cartes dernires gnration (EMV) ! Attaque de type Man In The
Middle Interception des communications entre la carte et le
terminal de paiement Trompe la carte et le terminal de paiement if
VERIFY_PRE and command[0:4] == "0020" : return
binascii.a2b.hex("9000 " )
Page 13
PIN SPOOFING SRS Day @ EPITA - 17 novembre 2010 13 Laisse
rpondre la carte authentique sur la quasi-totalit de la transaction
Intercepte la vrification de PIN et dit OK La vrai carte croit une
transaction sans PIN Le terminal de paiement croit que le PIN est
bon
Page 14
PIN SPOOFING Cot drisoire du matriel ncessaire, accessible au
grand public Importante possibilit de miniaturisation Plus efficace
quune YesCard car gre lauthentification dynamique Seul une
vrification dynamique du PIN des DAB le dtecte Aucune correction
envisageable sans le remplacement de tous les terminaux SRS Day @
EPITA - 17 novembre 2010 14
Page 15
Attaque des DAB Prsentation la Black Hat 2010 de Las Vegas
Barnaby Jack, directeur des recherches chez Ioactive Labs
Exploitations rendues possibles via reverse engineering Moyens de
protection daccs aux cartes mres insuffisants SRS Day @ EPITA - 17
novembre 2010 15
Page 16
Attaque des DAB: physique Ouverture du distributeur avec un
passe-partout Branchement de la clef USB contenant un Firmware
compromis Mise jour automatique du firmware de la borne
Dmonstration: SRS Day @ EPITA - 17 novembre 2010 16
Page 17
Attaque des DAB: distance Exploitation dune faille dans le
systme dauthentification de ladministration distance Dillinger :
Programme dadministration distance de machine faillible Scrooge :
Rootkit pour machines fonctionnant sur ARM Transformation du DAB en
dispositif de skimming Activation de menus cachs Mode Jackpot SRS
Day @ EPITA - 17 novembre 2010 17
Page 18
Conclusion De nombreux pays nont toujours pas de carte bancaire
puce Corriger une vulnrabilit est souvent lent et trs coteux Les
banques refusent de communiquer de peur de perdre la confiance de
leur clients Il faut mdiatiser les PIN spoofing pour prouver
linnocence de ceux impacts Le piratage de DAB est un type dattaque
nouveau avec un grand potentiel Mais les cartes de crdits aussi
progressent vers plus de scurit SRS Day @ EPITA - 17 novembre 2010
18 PIN ?