Un étudiant met en ligne son DEA dédié à la cyber surveillance du protocole numérique utilisé en Europe pour les paiements via les cartes à puce bancaire.
Omar Choudary est un étudiant en doctorat en informatique. Le chercheur à l’Université de Cambridge vient de se faire de nouveaux amis… les banques ! Le doctorant a mis en place le Smart Card Detective, un appareil au format d’une carte bancaire qui permet d’intercepter, de surveiller et de modifier les données d’une transaction EMV (Europay Mastercard Visa).
L’EMV est le protocole utilisé depuis 1995 pour les paiements via les cartes à puce. Comme le rappel Wikipedia, EMV est tiré des organismes fondateurs : Europay International (Mastercard) ; MasterCard International et Visa International.
Omar Choudary explique comment il a pu, avec son « invention », avoir la confirmation du montant demandé avant d’autoriser une transaction, accès au journal des données de transaction, du code PIN. Autant dire que les banques regardent d’un très mauvais œil ce futur grand docteur en informatique ! A noter que le chercheur propose sa thèse en téléchargement avec le logiciel qu’il a inventé. La nouvelle version (2.2) inclut le code qui permet d’utiliser SCD comme un terminal.
A noter qu’une association de banques, appréciant la recherche et la transparence, a demandé à l’université de Cambridge de mettre hors ligne la thèse du jeune homme au motif que cette dernière comportait bien trop d’informations sensibles. « Inutile de dire, explique l’Université via la plume d’Anderson Ross, que nous ne sommes pas très impressionné par leur demande. Cela fait un an que nous travaillons sur ce sujet« .
La banque Barclays semble déjà avoir corrigé la vulnérabilité permettant à Smart Card Detective de fonctionner. « Espérons que cette fois, conclut les universitaires, les banquiers viendront nous écouter, lors de nos conférences. Cette thèse est notre cadeau de Noël à leur encontre« .
A noter que du 27 février au 4 mars prochains se tiendra le Financial Cryptography 2011. Omar et ses amis parleront de sécurité bancaire le 2 mars. Autant dire que les oreilles seront grandes ouvertes !
