Deux ressortissants bulgares ont été interpellés et mis en examen pour avoir déployé un nouveau système d'arnaque à la carte bancaire, révèle 20 minutes.
Ils sont soupçonnés d'avoir installé des « boîtiers pirates dans onze parkings ou stations-service de la petite couronne parisienne entre les mois de février et d’avril. Au total, un peu plus de 300 personnes auraient été victimes de cette arnaque, pour un préjudice estimé à quelque 39.000 euros ».
D'ordinaire, explique une source proche de l’enquête, « les malfaiteurs récupéraient les données contenues sur les pistes bancaires, les 16 chiffres, la date de validité, le cryptogramme, souvent pour les revendre, précise cette même source. Ce qui est nouveau, c’est que cette fois, ils sont parvenus à dupliquer le flux de données qui entre et sort de la puce. »
Ce qui permettait aux escrocs d'effectuer des retraits au moment où les victimes entraient leurs codes dans un autre DAB à quelques kilomètres de là, en temps réel :
« C’est cette simultanéité qui a mis la puce à l’oreille du GIE. En plus d’alerter les autorités, l’organisme a également mis en place une nouvelle sécurité qui a permis de limiter le préjudice. »
« C’est la première fois que ce type de fraude est détectée sur notre territoire, mais une alerte similaire a été émise à la mi-mars à Londres », précise une source policière.
Commentaires (40)
#1
Flippant. On n’arrête pas le progrès.
#1.1
Clairement, ça commence à être vraiment compromis maintenant. :/
#2
Je suis curieux de savoir comment ils ont fait pour “dupliquer le flux de données” :O
edit : ah ok c’est le lecteur vérolé qui envoie à un complice le code
#3
On pouvait se douter que la fréquence/simultanéité des opérations était un déclencheur d’alarme.
Les mecs auraient attendus qq minutes/heures avant de tirer de l’argent et ca passait.
Quel dommage !
#4
pas certain, il me semble qu’il y a une histoire du genre profiter du jeton en cours, qui aurait été périmé dès la première transaction clôturée (ou après une durée de validité courte) . ça me semble bizarre mais ça doit ressembler à ça.
#5
Apparemment la simultanéité est nécessaire pour que cette arnaque fonctionne (chiffrement aléatoire ?) donc c’est rapidement détecté fort heureusement.
#6
De fait, ce genre d’opération doit avoir un chiffrement avec une clé de très court temps de vie. La même requête 10 min plus tard n’aurait pas été valide (clé expirée)
#7
En fait la “carte” fixée dans la fente qui capte les données les envoie à un boîtier collé dans un coin discret de l’automate, lequel les transmet en 4G à un complice qui encode à la volée une CB avec les données reçues.
#7.1
merci !
#8
Donc en temps réel ils envoyaient les messages du DAB distant “pirate” à la carte via le lecteur vérolé. Le DAB distant pensait alors avoir la vrai carte insérée
C’est dingue et ingénieux comme technique ! Bon par contre, c’est assez simple à bloquer :
soit la carte refuse deux transactions simultanées / trop proches de deux périphériques différents, ou alors un capcha en mode protection de jeu CPC464 : quel est le 12ème caractères de la 7ème ligne du texte au dos de votre carte :)
Impossible, c’est la carte qui chiffre la transaction une fois déverrouillée avec le code. La carte est un composant actif, c’est elle qui contrôle le code et autorise la transaction. Dès que tu n’y as plus accès impossible de faire quoi que ce soit.
#9
Hello, je ne sais pas si un contrôle physique et régulier des accès CB (parking, automates banques, stations essences, transports en commun, etc.) par un organisme certifié existe ?
Ce serait à la fois un bon business et une sécurité relative pour les gens en plus d’un gage de sérieux pour les entreprises.
Là, quand je mets la carte dans la fente, j’ai parfois le stress de savoir si celle-ci n’a pas été trafiquée sans avoir aucun indice pour le savoir.
#10
Question accessoire : ces types vont-ils pouvoir être expulsés de France ou des pleureuses droits-de-l-hommiste vont-ils l’en empêcher ?
#11
Bulgarie. Donc UE. Donc c’est super chaud de les expulser. En pratique pour ce genre de faits on ne peut pas.
Pas contre, le président bulgare est pro-russe : on peut pt etre utiliser cet argument pour les renoyer
#11.1
faudra penser a mettre a jour ton logiciel, la bulgarie n’a plus de gaz et refuse de payer en rouble
#12
En pratique, pas toujours facile, mais en théorie (EUR-Lex) :
Mais de la théorie à la pratique…
#13
C’est plutôt ca : https://www.service-public.fr/particuliers/vosdroits/F13517
#14
Beaucoup d’immigrés se noient avant d’arriver, mais toi tu veux renoyer ceux-là ?
#15
Et attendez que le PIN online soit généralisé, ça sera la fête pour les malfaiteurs. Une nouvelle surface d’attaque !
#15.1
c’est quoi le PIN online ?
#16
Noyer les survivants du 1er naufrage
#16.1
Mon père disait :” Je suis magnanime. Vous serez fusillés puis pendus. Comme ça, vous aurez une chance si la corde casse…”
#17
#18
Si je comprends bien, les malfaiteurs interceptaient le code et dupliquaient les données de la piste magnétique. Pourquoi gère-t-on encore cette passoire qu’est la piste magnétique ? Même les USA sont passés à la puce !
#19
La vérification du PIN par le serveur d’autorisation au lieu de le faire en local sur la CB.
Le PIN classique dans la carte permet de déverrouiller la clé privée qui permet de valider une transaction. Si 3 PIN faux sont entrés à la suite, la clé privée est irrémédiablement détruite sur la carte, la rendant inutilisable. Cette méthode est ultra sécurisé, mais génère du support humain et de la refabrication de carte quand la carte est bloqué.
A l’inverse, le PIN online est vérifié par le serveur d’autorisation à chaque transaction, donc transite par le réseau. Ca permet de ne jamais bloquer la carte physiquement, mais aussi de pouvoir changer le code PIN (puisqu’il n’est pas situé dans la carte mais sur les serveurs de l’émetteur).
A prendre ce qui suit avec des pincettes, mais il me semble que les clés de chiffrements de communication entre les terminaux et serveur sont dérivées une première fois par terminal, puis une seconde fois à chaque transaction. Ce qui fait que chaque transaction est unique, et nécessiterait, pour un vol de code PIN, une extraction de la clé de chiffrement du terminal, qui est physiquement protégé et donc extrêmement difficile (pour ne pas dire impossible).
Autrement dit, c’est beaucoup plus simple de coller une caméra qui film l’utilisateur en train de taper le code.
#20
Ce que je trouve dingue dans cette histoire, c’est que les malfaiteurs ont manifestement de très bonnes compétences en hacking, électronique et terminaux de paiements, et qu’ils ont mis ces compétences en œuvre pour “seulement” 39000€, soit 10000€ chacun et par mois. Je trouve ça fou vis-à-vis du risque.
Ils auraient pu se faire la même somme en quelques mois en travaillant dans une fintech ou un cabinet d’expertise en sécurité informatique, de manière tout à fait honnête.
Peut-être songaient-il passer sous les radars pendant quelques années, le temps d’amasser le pactole ?
#20.1
Ce ne doit pas être les spécialistes de la technique qui s’occupent des bases besognes. Ils doivent mettre des kits à disposition pour qu’ils soient utilisés un peu partout dans le monde.
#21
Je pense que cela nécessite que la carte soit toujours insérée pour fonctionner, donc d’être simultanée (pour que ça fonctionne par chip/emv au lieu du swipe). Car techniquement, je ne vois pas comment cela pourrait être exploité sinon pour des retraits DAB (en utilisant le chip).
Ce n’est pas ça que j’en comprends. Ils dumpaient la piste / cvv mais pas pour la transaction mais pour le revendre pour plus tard (c’est très classique ça) Ce qui est nouveau, c’est d’utiliser le chip (emv) pour passer une transaction. Car si tu skim une carte, tu ne peux pas faire de retrait en DAB via la piste pour une EMV à ma connaissance en France.
Mais il y a pire que la piste magnétique : les cartes “embossés”. Si t’es chiffres ressortent, il est toujours possible de payer dans certains pays avec un “sabot” sans vérification sur le moment. Tu passes ta cartes et tu signes un papier carbone qui est envoyé comme un chèque. Je n’ai pas trouvé de statistiques, mais je pense que c’est rare aujourd’hui et la dernière fois que j’ai vu ça en Europe en fonctionnement c’était en 2010.
Pour les pistes magnétique, même l’Inde l’abandonne depuis quelques années (Même si c’était bien pratique, car cela permettait de ne pas laisser la carte dans le distributeur en cas de TRES fréquentes coupure de courant). Maintenant, la carte est retenue mais quand même sortable mécaniquement (avec des indications sur l’ATM pour éviter de le faire en fonctionnement). Et le sans contact facilite le paiement sur mobile (comme par exemple en Amérique latine ou les gens utilisaient des smartphones avec sur le port jack un micro swipe pour la piste, maintenant cela passe en NFC pour le paiement).
Après certains pays n’utilisent que très peu les cartes de crédit (exemple la Chine), c’est ptêtre l’occasion d’abandonner les supports physiques.
#21.1
De ce que j’ai pu retenir la carte embossée est encore bcp utilisé en Asie et quelque peu en dans des pays en Afrique ( aussi Canada ).
Par contre abandonner le support physique soit tant qu’il reste la monnaie fiduciaire :o
#22
Clairement, les mecs qui ont les compétences pour créer ce genre de bidules sont pas assez cons pour les utiliser eux mêmes et se faire gauler, c’est plus rentable et bien moins risqué de vendre des kits de mise en œuvre + manuel sur le net (darknet voir carrément ebay ou Aliexpress et cie) à des trous d’uc de bas étage comme les 2 qui se sont fait choper ici.
#23
Au final de ce que je comprends, le maillon faible de la chaîne reste le TPE qui peut être potentiellement vérolé moyennant modifications physique.
A défaut de pouvoir les inspecter trop souvent, sont-ils vraiment physiquement sécurisés (ou alors le pékin moyen peut venir les ouvrir avec trois tournevis) ? Une supervision distante de leur intégrité ne serait-elle pas envisageable ?
Je ne connais pas les protocoles qui sont derrières, mais comme en sécurité c’est majoritairement le jeu du chat et de la souris, je me demandais quelles possibilités le chat pourrait avoir pour s’y protéger.
#23.1
Le chat ne se protège pas de la souris, au mieux il sécurise son gruyère.
La souris, elle, se fait défoncer avec le gruyère au bord des lèvres.
Sinon le distributeur n’est pas modifié ni ouvert, il fait son job en toute intégrité.
Ils rajoutent juste un “wrapper” dessus, genre un truc aimenté et alimenté par batterie qui en profite pour prendre quelques infos au passage.
#23.2
bah ici comme ça lit la puce c’est pas un simple truc ajouté dessus, mais ça devait un lecteur un peu plus costaud.
#23.3
Depuis quelques temps je vois des stations services qui ont des systèmes plus élaborés au niveau de la fente pour insérer la carte, je suppose pour rendre compliqué l’utilisation de ce genre de systèmes. Et ça rend d’ailleurs la carte moins pratique à insérer ^^
#23.4
Si je comprends bien, l’intermédiaire insère une fausse carte relais qui transfère les pistes de data de la puce dans l’emplacement légitime et son interface fait office de MITM ?
Le système ne pourrait pas détecter ce genre d’intrusion ?
Ah oui j’ai aussi remarqué que dans les stations service à CB l’insertion est désormais très en profondeur (ce n’est pas sale). Cela peut être en effet une méthode pour empêcher de poser un appareil par dessus.
#24
oui c’est une arnaque connue sur les pompes à essence aux EUs. il faut secouer le boîtier de paiement pour détacher le faux du vrai
#25
#26
les travailleurs salariés et non salariés ne doivent remplir aucune autre condition ;
Et pourtant, en Espagne, le NIE (Numéro d’Identification des Etrangers) est obligatoire pour
travailler/SECU/banque, etc. Même pour des membres de l’UE.
Difficile à obtenir, aberation…
https://www.tas-consultoria.com/fr/entreprendre-espagne/creation/etapes/obtention-nie/
#27
La Bulgarie pro-russe ? Elle vient d’être coupée du gaz russe. Ne confondrais-tu pas avec la Hongrie d’Orban ?
#28
Pas la Bulgarie. Radev, le “général rouge”, même s’il s’en défend.
https://www.rtbf.be/article/en-bulgarie-le-president-sortant-roumen-radev-reelu-pour-poursuivre-le-changement-10883113
#29
Cela voudrait dire qu’une transaction n’est pas signée avec la carte en fonction du montant et de l’identifiant du terminal et/ou que celui-ci n’a pas contre-validé la signature en vérifiant que c’était bien le bon montant et son identifiant avant de l’envoyer à la centrale de traitement ?
Ou alors un truc m’échappe.