Hack.lu 2011 - Chip & PIN is definitely broken
Chip & PIN is definitely broken
par Andrea Barisani & Daniele Bianco
Présentation des attaques menées par les Skimmers qui reproduisent les cartes bleues à partir des ATM (les DAB en français, les distributeurs automatiques de billets). Le problème actuel pour les skimmers, c’est que les distributeurs sont équipés de certaines contremesures pour empêcher les attaquants de lire la piste magnétique de la carte bleue.
Les auteurs ont donc travaillé sur un Skimmer EMV capable d’être inséré dans un ATM avec une carte spéciale, et de servir de « Proxy EMV », que l’on insert dans la fente du distributeur avec une vraie CB, et qui reste en place après coup.
la présentation se fait avec beaucoup d’humour, et une vidéo de démo sur comment draguer les filles en utilisant cette attaque ou le méchant hacker à vidé les comptes d’un ex-acteur porno (rofl). S’en suit une analyse du protocole d’échange EMV, et des contournements possibles, comme par exemple l’absence de piste magnétique force le terminal à discuter avec la puce.
En fonction de la « qualité » de la puce, un certain nombre de fonctions de sécurité sont présentes ou non, le problème étant que les puces les moins chères sont relativement plébiscités, et donc forcément les fonctions de validation sont plus faibles et plus aisément attaquables que sur les puces plus récentes (co-processeur crypto, et mécanisme de signature des messages…). Les protocoles pour les transactions « offline » sont bien moins secure que les protocoles des transactions « online », et les transactions offline sont assez rare en Europe (ce qui n’est apparemment pas le cas outre-atlantique).
La question qui se pose ensuite, c’est la sécurité du sacro-saint code PIN face à des skimmeurs voulant cloner votre carte et ayant des capacités d’interception entre la carte et le terminal. Normalement, c’est le terminal qui décide de la politique d’authentification et quelles fonctions sont utilisées pour valider le code PIN. Cependant, il existe au niveau de la carte une politique de sécurité qui permet de forcer le terminal à se comporter différemment en interceptant la lecture des « action code » et en les remplaçant par ceux choisis par l’attaquant. En forçant le terminal à entrer dans un mode dégradé, on peut ainsi forcer l’utilisation de fonctions de validation du code PIN qui mettent en danger la confidentialité de ce dernier.
Bref EMV c’est mort 🙂 il faudra à terme changer ça ! et rien n arrêtera les skimmer dans leur créativité pour intercepter votre code PIN. Coté contremesure à court terme, bloquer le mode offline des terminaux et effectuer les vérifications online empêcherait l’attaquant d’utiliser un mode dégradé et donc de compromettre le code PIN de la carte.