L'équipe a découvert qu'en attachant un petit appareil appelé « glitcher » au distributeur de billets, les criminels pouvaient manipuler le protocole cryptographique utilisé par la puce et le code PIN pour protéger les numéros PIN.
Cette vulnérabilité pourrait permettre aux criminels de voler de l'argent sur les comptes bancaires des victimes en faisant croire au distributeur de billets qu'un véritable code PIN est en réalité un code PIN différent, de plus grande valeur.
Les chercheurs ont développé un correctif qui pourrait corriger la vulnérabilité et travaillent avec la UK Cards Association (UKCA) pour garantir que tous les terminaux britanniques à puce et à code PIN soient corrigés dès que possible.
Le professeur Steve Fehler du laboratoire informatique de l'université de Cambridge, qui a dirigé la recherche, a déclaré :« Il s'agit d'une vulnérabilité grave qui pourrait permettre aux criminels de voler de l'argent sur les comptes bancaires des gens. Nous travaillons avec la UK Cards Association pour garantir que tous les utilisateurs du Royaume-Uni les terminaux à puce et à code PIN sont corrigés dès que possible.
Les chercheurs ont publié un article décrivant leurs résultats, qui sera présenté lors du USENIX Security Symposium en août.
Voici une explication plus détaillée du fonctionnement de l'attaque :
* Lorsqu'une carte à puce avec code PIN est insérée dans un distributeur automatique, le distributeur envoie un message à la carte lui demandant son code PIN.
* La carte crypte ensuite le code PIN à l'aide d'un protocole cryptographique appelé DES (Data Encryption Standard) et le renvoie au distributeur.
* Le distributeur décrypte le code PIN en utilisant le même protocole cryptographique et le compare au code PIN stocké sur la carte.
* Si le code PIN est correct, le distributeur autorise la transaction.
Les chercheurs ont découvert qu'en attachant un « glitcher » au distributeur de billets, ils pouvaient manipuler le protocole cryptographique de sorte que lorsqu'un véritable code PIN est saisi, il semble qu'un code PIN de valeur plus élevée ait été saisi.
Par exemple, si le véritable code PIN était 1 234, le problème pourrait le modifier de sorte que le distributeur « voit » une valeur de code PIN de 9 876. Cela permettrait au criminel de retirer 9 876 £ au lieu de 1 234 £ du compte bancaire de la victime.
Les chercheurs ont développé un correctif qui pourrait corriger la vulnérabilité et travaillent avec la UK Cards Association pour garantir que tous les terminaux britanniques à puce et à code PIN soient corrigés dès que possible.
Cette vulnérabilité rappelle qu’aucun système de sécurité n’est totalement infaillible. Cependant, en travaillant ensemble, nous pouvons rendre aussi difficile que possible le vol de notre argent par les criminels.