Les cartes à puce américaines sont compromises par millions

Selon une étude menée par Gemini Advisory

Les cartes à puce américaines sont compromises par millions
Selon une étude menée par Gemini Advisory

EMV est un standard international pour les cartes de débit et les cartes de crédit intelligentes initié par le consortium EMVCo. Il apporte un niveau de sécurité beaucoup plus élevé par rapport aux cartes à piste magnétiques, et s’inspire largement de la carte à puce originale. La France a été, avec la Grande-Bretagne, l’un des premiers pays à migrer entièrement vers le nouveau standard EMV. Aujourd’hui la plupart des pays européens l’ont adopté, de même pour certains pays d’Asie et d’Amérique. C’est ainsi qu’en 2015, les États-Unis ont eux aussi entamé leur migration vers ce standard. Ils ont opté pour ce dernier en raison de la sécurité qu’il procure et espéraient donc ainsi réduire considérablement les pertes liées à la fraude pour les banques et les détaillants basés aux États-Unis.

Trois années après la migration des États-Unis vers ce standard, les choses ne se déroulent pas comme prévu. Alors que pratiquement tous les clients des institutions financières sont déjà dotés de nouvelles cartes compatibles EMV, on constate néanmoins que la fraude à la carte n’a pas été éliminée. C’est ce que révèle une étude de Gemini Advisor qui a été menée sur la base des données de télémétrie collectées au cours de nombreuses années sur diverses sources de réseau noir. Cette étude a pu démontrer qu'au moins 60 millions de cartes américaines avaient été compromises.

Les principales conclusions de cette étude sont les suivantes :

• 60 millions de cartes de paiement américaines ont été compromises au cours des 12 derniers mois ;
• 45,8 millions, soit 75%, sont des enregistrements de Carte-Présentes (CP) et ont été volés sur les appareils au point de vente, alors que seulement 25% ont été compromis par des violations en ligne ;
• 90% des cartes de paiement américaines CP compromises étaient compatibles EMV ;
• Les États-Unis sont en tête du monde en ce qui concerne le nombre total de cartes de paiement EMV compromises, avec 37,3 millions d'enregistrements ;
• Les groupes de menaces motivés par des considérations financières exploitent toujours le manque de conformité des commerçants à la norme EMV ;
• Un passage imminent de la fraude par CP à une fraude par Carte-Non-Présente (CNP) est déjà évident, avec une augmentation de 14% du nombre de cartes de paiement volées en raison de violations du commerce électronique au cours des 12 derniers mois.
  

Number of stolen chip-enabled EMV vs. magnetic payment cards in the US

Ces résultats reflètent directement le manque de conformité des marchands américains avec la mise en œuvre d'EMV. Comparés au reste du monde, les États-Unis sont beaucoup plus touchés par la fraude par carte de crédit et la mise en œuvre du standard EMV a eu le moins d’impact positif que dans tous les autres pays du monde où il a été implanté.

Comparison between stolen payment cards in the US and worldwide

Ces cas de fraudes sont si récurrents aux USA que les méthodes pour y parvenir ont été identifiées. Généralement les criminels essaient de compromettre les réseaux marchands, se frayent un chemin vers des terminaux de point de vente sur le réseau cible et y déploient des logiciels malveillants. TRINITY, est l’un des logiciels utilisés lors de ces attaques et selon des chercheurs de FireEye, il fonctionne en permanence et cible les processus système qui ne figurent pas dans la liste noire des processus d’accompagnement, recherchant des données correspondant aux données de suivi des cartes de paiement. Une fois qu’il a identifié ces données, celles-ci sont copiées, codées puis finalement exfiltrées vers un serveur de commande et de contrôle. Cette méthode n’est qu’une des deux méthodes utilisées pour la fraude par carte de crédit, et une fois que les données de la carte de paiement ont été volées, elles sont souvent mises en vente sur divers marchés criminels.

En attendant de pouvoir réduire au maximum le risque de fraude lié aux cartes de crédit dans les marchés américains, Gemini Advisory recommande l'utilisation de systèmes de paiement mobiles tels qu'Android Pay, Google Pay et Apple Pay, car il estime que de tels systèmes de paiement ne sont pas sensibles aux dispositifs malveillants ni aux logiciels malveillants des points de vente, ce qui en fait le moyen de paiement le plus sécurisé actuellement disponible.

Sources : Geminy Advisory

Et vous ?

Pensez-vous que la France puisse rencontrer ce même problème ?

Voir aussi :

Le système bancaire de l'Inde met les bouchées doubles pour abandonner Windows XP au profit d'OS plus récents et mieux sécurisés
Une banque suédoise ayant opté pour l'automatisation poussée réalise des bénéfices record le secteur bancaire prochain eldorado de l'automatisation ?
SWIFT se prépare à dévoiler un nouveau plan de sécurité après les vols de banque « il y aura un avant et un après Bangladesh » a déclaré son PDG