La carte de crédit : protections et méthodes de contournement

Slides:



Advertisements
Présentations similaires
Certification à Bruxelles Élections communales de 2006.
Advertisements

Université Nancy 2 - CRI Propositions de mécanisme de SSO dans un environnement d’applications web.
Manuel Qualité, Structure et Contenus – optionnel
Systèmes d ’Information :
Éthique de la cryptologie
Tolérance aux défaillances de logiciel
Caractéristiques principales
Procédure de traitement des réclamations clients, des non-conformités et des actions correctives et préventives.
Sécurité et confiance : De la gestion des droits d’accès à la gestion des droits d’usage
FINANCIAL MANAGEMENT FOR THE CLUB GESTION FINANCIÈRE POUR LE CLUB.
Droit : LE gie carte bleue
Un peu de sécurité Modal Web Modal Baptiste DESPREZ
Initiation aux bases de données et à la programmation événementielle
1 La Solution de Communication par SMS Solution conçue par.
Gestion de votre activité commerciale et suivi de vos dépenses
Améliorer les performances du chiffrage à flot SYND
La mise en place du Règlement sur la diffusion de linformation Un travail déquipe.
1 ARCHITECTURE DACCÈS la méthode générale modèle de données définitions module daccès / modules métiers construction des modèles les modules daccès, les.
DECOUVREZ LA NOUVELLE LIGNE 30 WINDOWS V9
Comment s’effectue le paiement sur internet?
Jean-Philippe Giola Jérome Robbiano Laurent Rudault
LA CERTIFICATION ELECTRONIQUE APPLIQUEE AU SYSTÈME DE PAIEMENT ALGERIEN Alger, Séminaire du 08 & 09 Décembre 2009.
Plateforme de gestion de données de capteurs
BIOMETRIE La biométrie : La gestion d’accès de demain
Pour commencer double clic sur l’icone
document réalisé par JF Percevault et YR Cornil
Tarifs et mobilité bancaire UFC-Que Choisir dIle de France.
Etude des Technologies du Web services
Restriction daccès aux logiciels et aux matériels Problème de licence Nicolas CHABANOLES Matière : SRR Lieu: UFRIMA.
Le portail personnel pour les professionnels du chiffre
1 Bibdoc 37 – Regards croisés Bibliothèques virtuelles, usages réels 7 avril 2009 – Tours « Les usages des bibliothèques virtuelles » Jean-Philippe Accart.
Implications des mauvaises pratiques opérationnelles
par Bernard Maudhuit Anne-Marie Droit
AUGEAI - GILI -- Techniques de Protection anticopie 1 Techniques de Protection anti-copie Cours de Sécurité O.Papini – N.Baudru.
Finger Cryptosystem pour L’Authentification
Présenté par : Albéric Martel Fabien Dezempte 1.
Section 4 : Paiement, sécurité et certifications des sites marchands
Connexion Encodage des virements Extraits
Remplir le formulaire en ligne
Sécurité WiFi EXPOSE DE RESEAU Rudy LEONARD Prâsad RAMASSAMY
Cryptographie Réalisé par TOUJENI Noura BEN SOUISSI Rania KARAOUD Imen
Protocole 802.1x serveur radius
Réunion gestionnaires 22 Octobre Journée Formation/Réunion des gestionnaires 22 Octobre 2009 – ICMCB.
Test et débogage Tests unitaires. Gestion d’erreurs. Notion d’état, de pré-condition et de post-condition. Assertion. Traces de programme. Débogueur et.
CAssiopée, un système de vidéosurveillance bancaire
SSO : Single Sign On.
802.1x Audric PODMILSAK 13 janvier 2009.
Authentification à 2 facteurs
Aymeric BERNARD Stéphane BRINSTER Guillaume LECOMTE.
Extranet des collèges Guide dutilisation des fonctionnalités de la paye des intervenants de la D.A.E. Novembre 2006.
NORMALISATION DES LANGAGES DE PROGRAMMATION des Automates Programmables Industriels CEI
1 Architecture orientée service SOA Architecture orientée service SOA (Service Oriented Architecture)
U3.4- La monétique bancaire
La sécurité dans les réseaux mobiles Ad hoc
Sécurité Les Virus Logiciels non sollicités et réalisant des opérations malveillantes ou destructrices Typologie –D’application :introduit par recopie.
Supports de formation au SQ Unifié
Menu Structure : Divisions Diffusion Nationale TOULOUSE – Décembre 2008 Structure et Services « STS » Menu Structures : Divisions.
Pr BELKHIR Abdelkader USTHB
Code de sécurité des travaux, 5e édition, 2008
FTP : File Transfer Protocol (protocole de transfert de fichier ) est un protocole de communication destiné à l'échange informatique de fichiers sur.
On a opté pour partager avec vous notre expérience en authentification forte vu l’intérêt que suscite ce sujet d’actualité et je tiens à remercier les.
Introduction Module 1.
Procédure de récupération du matériel
Le suivi de fabrication
La sécurité du Wifi Le WEP Le WPA Le 802.1X.
Utilisation de la plateforme DomoLeaf en mode Adhérent 1 (Accessible avec une carte d’accès, en vente auprès de votre distributeur)
Je suis de retour ! Vous avez passé de belles Fêtes? Je suis de retour ! Vous avez passé de belles Fêtes? Aujourd’hui, nous parlons : Technologie Proximité.
PRÉSENTATION AGL LES TESTS LOGICIELS LES TEST LOGICIELS 1 Mickael BETTINELLI Brandon OZIOL Gaétan PHILIPPE Simon LUAIRE.
 Introduction  Les protocoles de sécurité  Les attaques possibles  Conclusion.
Transcription de la présentation:

La carte de crédit : protections et méthodes de contournement SRS Day – Conférence 17 novembre 2010 La carte de crédit : protections et méthodes de contournement Auteurs: Julien Birene <birene_j@epitaz.fr> Samuel Da Mota <da-mot_s@epita.fr> Myriam Goupil <goupil_m@epita.fr> Xavier Guerraz <guerra_x@epita.fr> Morgan Hotonnier <hotonn_m@epita.fr>

Plan Fonctionnement des cartes bancaires Skimming YesCarding Format EMV PIN Spoofing Attaque des DAB Conclusion SRS Day @ EPITA - 17 novembre 2010

Rappel législatif Article 67-1/2 (Loi n°91-1382 du 30 décembre 1991) Qui a contrefait ou falsifié une carte de paiement …ou utilisé en connaissance de cause une carte falsifée …ou même accepté le paiement d’une carte falsifiée Jusqu’à 760 000 € d’amende et 7 ans de prison SRS Day @ EPITA - 17 novembre 2010

Fonctionnement des cartes bancaires Authentification de la carte Authentification du porteur Le lecteur transmet les quatre chiffres à la carte pour validation Authentification par le centre bancaire (optionnelle) VS + Infos Authentification Hash infos Déchiffre VS avec la clé publique du GIE 3) Compare les deux valeurs Vérifie et donne l’autorisation Envoie un nombre aléatoire X Renvoie DES(K,X) SRS Day @ EPITA - 17 novembre 2010

Fonctionnement des cartes bancaires Déroulement d’une transaction Le terminal de paiement mémorise toutes les transactions de la journée Connexion au centre bancaire et envoi de la liste des transactions Réclamation des sommes auprès des banques des acheteurs 4) La banque du commerçant prélève ses taxes La banque du commerçant lui restitue la somme restante 1 2 5 3 4 SRS Day @ EPITA - 17 novembre 2010

Skimming Duplication d’une carte bancaire légitime Récupération du numéro de la carte Récupération du code PIN Zones privilégiées pour le placement d’un équipement de skimming Caméra cachée dans le porte document Apposition d’un lecteur de bande magnétique SRS Day @ EPITA - 17 novembre 2010

Lutte contre le skimming Détection d’un module de skimming Mesure de l’épaisseur des élément du distributeur et alerte automatique La meilleure protection reste la prévention Chercher un éventuel cache placé sur le lecteur Cacher son code PIN avec sa main Éviter les personnes trop serviables Vérifier ses comptes régulièrement SRS Day @ EPITA - 17 novembre 2010

YesCarding C’est la carte qui confirme au terminal que le PIN est le bon Un simple lecteur de carte à puce et un PC suffisent Yescard: Répond toujours “oui le PIN est bon” Il reste à tromper l’authentification de la carte Pour cela deux méthodes: Yescard clônée d’une carte authentique Yescard “Humpich”, créée de toute pièce SRS Day @ EPITA - 17 novembre 2010

YesCard Humpich L’authentification statique (SDA) fonctionne car l’information bancaire factice est chiffrée avec la bonne clé La vérification du PIN également car la carte répond toujours OUI La vérification en ligne échouera, mais n’est pas systématique La carte sera blacklistée le soir même par la banque SRS Day @ EPITA - 17 novembre 2010

Lutte contre le Yescarding Raison du passage précipité au format EMV La clé RSA passée de 320 bits à 768 bits SDA encore beaucoup utilisée pour des raisons économiques YesCards Humpich aujourd’hui considérées inexploitables (99% des DAB et terminaux ont été remplacés) … mais pour encore combien de temps ? (Record de clé RSA cassée par l’INRIA: 768 bits) SRS Day @ EPITA - 17 novembre 2010

NORME EMV Standard international remplaçant le format BO` Authentification de la carte plus forte SDA (vérifie une donnée signée mise dans la carte lors de sa création. La clé RSA est passé à 768 bits) DDA (vérifie en plus que la carte connaît un secret fourni par la banque. Le rejeu n’est plus possible et donc plus de YesCard) CDA (assure en plus que la carte utilisée pour la transaction est la même que celle utilisée pour l’authentification) Authentification en ligne Passage du DES à un Triple DES avec une clé unique propre à chaque transaction SRS Day @ EPITA - 17 novembre 2010

PIN SPOOFING Permet d’utiliser une carte bancaire sans connaître le PIN Fonctionnel sur les cartes dernières génération (EMV) ! Attaque de type « Man In The Middle » Interception des communications entre la carte et le terminal de paiement Trompe la carte et le terminal de paiement if VERIFY_PRE and command[0:4] == "0020": return binascii.a2b.hex("9000") SRS Day @ EPITA - 17 novembre 2010

PIN SPOOFING Laisse répondre la carte authentique sur la quasi-totalité de la transaction Intercepte la vérification de PIN et dit « OK » La vrai carte croit à une transaction sans PIN Le terminal de paiement croit que le PIN est bon SRS Day @ EPITA - 17 novembre 2010

PIN SPOOFING Coût dérisoire du matériel nécessaire, accessible au grand public Importante possibilité de miniaturisation Plus efficace qu’une YesCard car gère l’authentification dynamique Seul une vérification dynamique du PIN des DAB le détecte Aucune correction envisageable sans le remplacement de tous les terminaux SRS Day @ EPITA - 17 novembre 2010

Attaque des DAB Présentation à la Black Hat 2010 de Las Vegas Barnaby Jack, directeur des recherches chez Ioactive Labs Exploitations rendues possibles via « reverse engineering » Moyens de protection d’accès aux cartes mères insuffisants SRS Day @ EPITA - 17 novembre 2010

Attaque des DAB: physique Ouverture du distributeur avec un passe-partout Branchement de la clef USB contenant un Firmware compromis Mise à jour automatique du firmware de la borne Démonstration: SRS Day @ EPITA - 17 novembre 2010

Attaque des DAB: à distance Exploitation d’une faille dans le système d’authentification de l’administration à distance Dillinger : Programme d’administration à distance de machine faillible Scrooge : Rootkit pour machines fonctionnant sur ARM Transformation du DAB en dispositif de skimming Activation de menus cachés Mode Jackpot SRS Day @ EPITA - 17 novembre 2010

Conclusion De nombreux pays n’ont toujours pas de carte bancaire à puce Corriger une vulnérabilité est souvent lent et très coûteux Les banques refusent de communiquer de peur de perdre la confiance de leur clients Il faut médiatiser les PIN spoofing pour prouver l’innocence de ceux impactés Le piratage de DAB est un type d’attaque nouveau avec un grand potentiel Mais les cartes de crédits aussi progressent vers plus de sécurité PIN ? SRS Day @ EPITA - 17 novembre 2010

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.