La conférence Black Hat 2015 qui s’est tenue à Las Vegas début août a fait l’objet d’un buzz informatique ! Des experts en sécurité informatique diplômés de l’université de Boston ont démontré la faiblesse de terminaux de cartes bancaires en piratant en 10 minutes, le lecteur de cartes bancaires de la société de paiements par téléphone, Square.
Le lecteur de paiement Square est fourni gratuitement aux commerçants et est essentiellement utilisé aux Etats Unis. Il est présenté comme une innovation pour les petites entreprises et les commerçants pour faciliter les transactions au quotidien et éviter les coûts de l’abonnement d’un terminal de paiement classique. Square propose donc un petit boîtier à relier avec un smartphone ou sa tablette. Ce paiement par mobile qui se connecte et s’alimente via la prise audio du téléphone lit la piste magnétique de toutes les cartes bancaires sur le marché comme Visa, MasterCard, American Express.
L’application Square permet aux clients de recevoir leur reçu par SMS ou par e-mail et le commerçant de réaliser son suivi en consultant un historique de toutes les transactions réalisées.
La conférence Black Hat sur la sécurité informatique à Las Vegas a servi de tribune pour démontrer comment le lecteur de la société de paiements par téléphone Square pouvait servir à récupérer des données voire à facturer de faux achats.
Selon Alexandra Mellen, chercheuse indépendante et pirate désignée pour l’occasion a expliqué que « l’opération nécessite l’utilisation d’outils simples comme un tournevis, du câble et un fer à souder… »
Après l’ouverture délicate du lecteur Square, une simple soudure du câble entre deux points à l’intérieur du lecteur pour contourner une puce de cryptage, permet de récupérer les informations des cartes passées dans le lecteur. Il va de soi que ces informations sont susceptibles d’être détournées à des fins malhonnêtes voire à être revendues au plus offrant !
Cette fragilité n’est pas spécifique à Square et elle se retrouve chez d’autres fournisseurs de services mobiles pour les commerçants. En revanche l’utilisation du smartphone pour les paiements en plein essor aux Etats-Unis et bientôt sur d’autres continents pose une vraie problématique de sécurité et de protection des données confidentielles.
Pour se défendre la société Square invoque le système des cartes de crédit en circulation aux Etats-Unis qui stockent encore les données sur leurs bandes magnétiques contrairement aux cartes bancaires des pays européens qui ont adopté la technologie de la carte à puce. Il est vrai que les cartes à bande magnétique, comme les American Express, sont beaucoup plus vulnérables que les cartes à puce puisque la bande magnétique comprend toutes les informations que l’on peut avoir avec une carte bancaire en main, hormis le cryptogramme de sécurité.
