Page 1

SRS Day Confrence 17 novembre 2010

Page 2

Plan Fonctionnement des cartes bancaires Skimming YesCarding Format EMV PIN Spoofing Attaque des DAB Conclusion SRS Day @ EPITA - 17 novembre 2010 2

Page 3

Rappel lgislatif Article 67-1/2 (Loi n91-1382 du 30 dcembre 1991) Qui a contrefait ou falsifi une carte de paiement ou utilis en connaissance de cause une carte falsife ou mme accept le paiement dune carte falsifie Jusqu 760 000 damende et 7 ans de prison SRS Day @ EPITA - 17 novembre 2010 3

Page 4

Fonctionnement des cartes bancaires Authentification de la carte Authentification du porteur Le lecteur transmet les quatre chiffres la carte pour validation Authentification par le centre bancaire (optionnelle) SRS Day @ EPITA - 17 novembre 2010 4

Page 5

Fonctionnement des cartes bancaires Droulement dune transaction SRS Day @ EPITA - 17 novembre 2010 5 1)Le terminal de paiement mmorise toutes les transactions de la journe 2)Connexion au centre bancaire et envoi de la liste des transactions 3)Rclamation des sommes auprs des banques des acheteurs 4)La banque du commerant prlve ses taxes 5)La banque du commerant lui restitue la somme restante

Page 6

Skimming Duplication dune carte bancaire lgitime Rcupration du numro de la carte Rcupration du code PIN SRS Day @ EPITA - 17 novembre 2010 6 Apposition dun lecteur de bande magntique Zones privilgies pour le placement dun quipement de skimming Camra cache dans le porte document

Page 7

Dtection dun module de skimming Mesure de lpaisseur des lment du distributeur et alerte automatique La meilleure protection reste la prvention Chercher un ventuel cache plac sur le lecteur Cacher son code PIN avec sa main viter les personnes trop serviables Vrifier ses comptes rgulirement Lutte contre le skimming SRS Day @ EPITA - 17 novembre 2010 7

Page 8

YesCarding Cest la carte qui confirme au terminal que le PIN est le bon Un simple lecteur de carte puce et un PC suffisent Yescard: Rpond toujours oui le PIN est bon Il reste tromper lauthentification de la carte Pour cela deux mthodes: Yescard clne dune carte authentique Yescard Humpich, cre de toute pice SRS Day @ EPITA - 17 novembre 2010 8

Page 9

YesCard Humpich SRS Day @ EPITA - 17 novembre 2010 9 Lauthentification statique (SDA) fonctionne car linformation bancaire factice est chiffre avec la bonne cl La vrification du PIN galement car la carte rpond toujours OUI La vrification en ligne chouera, mais nest pas systmatique La carte sera blackliste le soir mme par la banque

Page 10

Lutte contre le Yescarding Raison du passage prcipit au format EMV La cl RSA passe de 320 bits 768 bits SDA encore beaucoup utilise pour des raisons conomiques YesCards Humpich aujourdhui considres inexploitables (99% des DAB et terminaux ont t remplacs) mais pour encore combien de temps ? (Record de cl RSA casse par lINRIA: 768 bits) SRS Day @ EPITA - 17 novembre 2010 10

Page 11

NORME EMV 11 SRS Day @ EPITA - 17 novembre 2010 Standard international remplaant le format BO` Authentification de la carte plus forte SDA (vrifie une donne signe mise dans la carte lors de sa cration. La cl RSA est pass 768 bits) DDA (vrifie en plus que la carte connat un secret fourni par la banque. Le rejeu nest plus possible et donc plus de YesCard) CDA (assure en plus que la carte utilise pour la transaction est la mme que celle utilise pour lauthentification) Authentification en ligne Passage du DES un Triple DES avec une cl unique propre chaque transaction

Page 12

PIN SPOOFING 13 SRS Day @ EPITA - 17 novembre 2010 Permet dutiliser une carte bancaire sans connatre le PIN Fonctionnel sur les cartes dernires gnration (EMV) ! Attaque de type Man In The Middle Interception des communications entre la carte et le terminal de paiement Trompe la carte et le terminal de paiement if VERIFY_PRE and command[0:4] == "0020" : return binascii.a2b.hex("9000 " )

Page 13

PIN SPOOFING SRS Day @ EPITA - 17 novembre 2010 13 Laisse rpondre la carte authentique sur la quasi-totalit de la transaction Intercepte la vrification de PIN et dit OK La vrai carte croit une transaction sans PIN Le terminal de paiement croit que le PIN est bon

Page 14

PIN SPOOFING Cot drisoire du matriel ncessaire, accessible au grand public Importante possibilit de miniaturisation Plus efficace quune YesCard car gre lauthentification dynamique Seul une vrification dynamique du PIN des DAB le dtecte Aucune correction envisageable sans le remplacement de tous les terminaux SRS Day @ EPITA - 17 novembre 2010 14

Page 15

Attaque des DAB Prsentation la Black Hat 2010 de Las Vegas Barnaby Jack, directeur des recherches chez Ioactive Labs Exploitations rendues possibles via reverse engineering Moyens de protection daccs aux cartes mres insuffisants SRS Day @ EPITA - 17 novembre 2010 15

Page 16

Attaque des DAB: physique Ouverture du distributeur avec un passe-partout Branchement de la clef USB contenant un Firmware compromis Mise jour automatique du firmware de la borne Dmonstration: SRS Day @ EPITA - 17 novembre 2010 16

Page 17

Attaque des DAB: distance Exploitation dune faille dans le systme dauthentification de ladministration distance Dillinger : Programme dadministration distance de machine faillible Scrooge : Rootkit pour machines fonctionnant sur ARM Transformation du DAB en dispositif de skimming Activation de menus cachs Mode Jackpot SRS Day @ EPITA - 17 novembre 2010 17

Page 18

Conclusion De nombreux pays nont toujours pas de carte bancaire puce Corriger une vulnrabilit est souvent lent et trs coteux Les banques refusent de communiquer de peur de perdre la confiance de leur clients Il faut mdiatiser les PIN spoofing pour prouver linnocence de ceux impacts Le piratage de DAB est un type dattaque nouveau avec un grand potentiel Mais les cartes de crdits aussi progressent vers plus de scurit SRS Day @ EPITA - 17 novembre 2010 18 PIN ?