180 likes | 359 Views
SRS Day – Conférence 17 novembre 2010. La carte de crédit : protections et méthodes de contournement. Auteurs:. Plan. Fonctionnement des cartes bancaires Skimming YesCarding Format EMV PIN Spoofing Attaque des DAB Conclusion. Rappel législatif.
E N D
SRS Day – Conférence 17 novembre 2010 La carte de crédit : protections et méthodes de contournement Auteurs:
Plan • Fonctionnement des cartes bancaires • Skimming • YesCarding • Format EMV • PIN Spoofing • Attaque des DAB • Conclusion SRS Day @ EPITA - 17 novembre 2010
Rappel législatif • Article 67-1/2 (Loi n°91-1382 du 30 décembre 1991) • Qui a contrefaitoufalsifiéune carte de paiement • …ouutilisé en connaissance de cause unecarte falsifée • …oumêmeaccepté le paiementd’unecarte falsifiée • Jusqu’à 760 000 € d’amende et 7 ans de prison SRS Day @ EPITA - 17 novembre 2010
Fonctionnement des cartes bancaires • Authentification de la carte • Authentification du porteur • Le lecteur transmet les quatre chiffres à la carte pour validation • Authentification par le centre bancaire (optionnelle) VS + Infos Hash infos Déchiffre VS avec la clé publique du GIE 3) Compare les deux valeurs Authentification Envoie un nombre aléatoire X Renvoie DES(K,X) Vérifie et donne l’autorisation SRS Day @ EPITA - 17 novembre 2010
Fonctionnement des cartes bancaires • Déroulement d’une transaction 1 Le terminal de paiement mémorise toutes les transactions de la journée Connexion au centre bancaire et envoi de la liste des transactions Réclamation des sommes auprès des banques des acheteurs 4) La banque du commerçant prélève ses taxes La banque du commerçant lui restitue la somme restante 2 5 3 4 SRS Day @ EPITA - 17 novembre 2010
Skimming • Duplication d’une carte bancaire légitime • Récupération du numéro de la carte • Récupération du code PIN Caméra cachée dans le porte document Zones privilégiées pour le placement d’un équipement de skimming Apposition d’un lecteur de bande magnétique SRS Day @ EPITA - 17 novembre 2010
Lutte contre le skimming • Détection d’un module de skimming • Mesure de l’épaisseur des élément du distributeur et alerte automatique • La meilleure protection reste la prévention • Chercher un éventuel cache placé sur le lecteur • Cacher son code PIN avec sa main • Éviter les personnes trop serviables • Vérifier ses comptes régulièrement SRS Day @ EPITA - 17 novembre 2010
YesCarding • C’est la carte qui confirme au terminal que le PIN est le bon • Un simple lecteur de carte à puce et un PC suffisent • Yescard: Répondtoujours “ouile PIN est bon” • Il reste à tromperl’authentification de la carte • Pour celadeuxméthodes: • Yescardclônéed’une carte authentique • Yescard “Humpich”, créée de toute pièce SRS Day @ EPITA - 17 novembre 2010
YesCardHumpich • L’authentificationstatique (SDA) fonctionne car l’informationbancaire factice estchiffrée avec la bonne clé • La vérification du PIN également car la carte répondtoujours OUI • La vérification en ligneéchouera, maisn’est pas systématique • La carte sera blacklistée le soirmême par la banque SRS Day @ EPITA - 17 novembre 2010
Lutte contre le Yescarding • Raison du passage précipité au format EMV • La clé RSA passée de 320 bits à 768 bits • SDA encore beaucoup utilisée pour des raisons économiques • YesCardsHumpichaujourd’huiconsidéréesinexploitables (99% des DAB et terminauxontétéremplacés) • … mais pour encore combien de temps ? (Record de clé RSA cassée par l’INRIA: 768 bits) SRS Day @ EPITA - 17 novembre 2010
NORME EMV • Standard international remplaçant le format BO` • Authentification de la carte plus forte • SDA (vérifie une donnée signée mise dans la carte lors de sa création. La clé RSA est passé à 768 bits) • DDA (vérifie en plus que la carte connaît un secret fourni par la banque. Le rejeu n’est plus possible et donc plus de YesCard) • CDA (assure en plus que la carte utilisée pour la transaction est la même que celle utilisée pour l’authentification) • Authentification en ligne • Passage du DES à un Triple DES avec une clé unique propre à chaque transaction SRS Day @ EPITA - 17 novembre 2010
PIN SPOOFING • Permet d’utiliser une carte bancaire sans connaître le PIN • Fonctionnel sur les cartes dernières génération (EMV) ! • Attaque de type « Man In The Middle » • Interception des communications entre la carte et le terminal de paiement • Trompe la carte et le terminal de paiement if VERIFY_PRE and command[0:4] == "0020": return binascii.a2b.hex("9000") SRS Day @ EPITA - 17 novembre 2010
PIN SPOOFING • Laisse répondre la carte authentique sur la quasi-totalité de la transaction • Intercepte la vérification de PIN et dit « OK » • La vrai carte croit à une transaction sans PIN • Le terminal de paiement croit que le PIN est bon SRS Day @ EPITA - 17 novembre 2010
PIN SPOOFING • Coûtdérisoire du matérielnécessaire, accessible au grand public • Importantepossibilité de miniaturisation • Plus efficacequ’uneYesCard car gèrel’authentificationdynamique • Seulunevérificationdynamique du PIN des DAB le détecte • Aucune correction envisageable sans le remplacement de tous les terminaux SRS Day @ EPITA - 17 novembre 2010
Attaque des DAB • Présentation à la Black Hat 2010 de Las Vegas • Barnaby Jack, directeur des recherches chez IoactiveLabs • Exploitations rendues possibles via « reverse engineering » • Moyens de protection d’accès aux cartes mères insuffisants SRS Day @ EPITA - 17 novembre 2010
Attaque des DAB: physique • Ouverture du distributeur avec un passe-partout • Branchement de la clef USB contenant un Firmwarecompromis • Mise àjour automatique du firmware de la borne • Démonstration: SRS Day @ EPITA - 17 novembre 2010
Attaque des DAB: à distance • Exploitation d’une faille dans le système d’authentification de l’administration à distance • Dillinger : Programme d’administration à distance de machine faillible • Scrooge : Rootkit pour machines fonctionnant sur ARM • Transformation du DABen dispositif de skimming • Activation de menus cachés • Mode Jackpot SRS Day @ EPITA - 17 novembre 2010
Conclusion • De nombreux pays n’ont toujours pas de carte bancaire à puce • Corriger une vulnérabilité est souvent lent et très coûteux • Les banques refusent de communiquer de peur de perdre la confiance de leur clients • Il faut médiatiser les PIN spoofing pour prouver l’innocence de ceux impactés • Le piratage de DAB est un type d’attaque nouveau avec un grand potentiel • Mais les cartes de crédits aussi progressent vers plus de sécurité PIN ? SRS Day @ EPITA - 17 novembre 2010