Nos Partenaires

Auteur Sujet: Piratage CB sans contact - Quelles parades  (Lu 1452 fois)

26 avril 2017 à 18:52:32
Lu 1452 fois

Cheyenne


Mon épouse vient de recevoir un appel de la banque pour demander si elle s'était rendue aux USA, car il y avait des dépenses là-bas.
Hélas nous aurions bien aimé pouvoir lui répondre oui.
Heureusement, il y a des systèmes de surveillances qui, au vu de nos dépenses habituelles et du niveau du compte :( ont bloqué la carte immédiatement.
Ce qui peut à l'inverse créer un problème. il vaut mieux que la banque soit prévenue de votre déplacement que se retrouver sans crédit à l'autre bout du monde.
Appel aux spécialistes informatique :
Comment se prémunir - refuser ce système ?
La partie de la carte ou est ce truc est-elle "gratable ?
B

26 avril 2017 à 19:57:37
Réponse #1

Arnaud


Ce genre de piratage est pas forcement imputable au sans contact... y'a d'autres explications.

Mais si tu veux tu peux flinguer l'antenne RFID en la perçant... y'a plein de tutos sur le web.

Pour plus de sécurité, tu peux également effacer le "cryptogramme" au dos de la carte après l'avoir mémorisé
« Everybody has a plan until they get punched in the mouth.»

26 avril 2017 à 20:01:27
Réponse #2

Sou


Citer
Comment se prémunir - refuser ce système ?
La partie de la carte ou est ce truc est-elle "gratable ?

Bonjour Cheyenne, de quel système parles-tu exactement? Système d'alerte en cas d'usage inhabituel, ou traçage de ta carte?

Et quel est "ce truc" dont tu parles?

Cordialement, Sou.

Edit: Arnaud plus rapide, et totalement dans le vrai si telle était ta question. Après ce sont des habitudes d'usages qui peuvent te permettre de ne pas te faire pirater. Et encore, tout ne dépends pas seulement de toi en la matière.

"La dissidence n'est pas une fin, mais seulement un moyen, celui de faire à sa façon."

26 avril 2017 à 20:06:53
Réponse #3

Troll


Hello,

Comme évoqué, tu percer l'antenne. Néanmoins, prévenir la banque d'un futur déplacement est aussi une solution ! Par contre, je ne sais pas du tout comment cette dernière 'enregistre' le fait que tu es à tel endroit et pas à un autre.

Autrement, même si ça ne résout pas tout et loin de là, l'étui anti RFID peut aussi fonctionner dans certains cas. Il faut le demander à la banque.

Bien à toi,

Troll
Semper potest proficio

26 avril 2017 à 20:29:51
Réponse #4

mrfroggy


J ai remarqué sur mon étui de protection anti-piratage, que les caractères en relief de la cb, finissaient par s imprimer sur l étui!
du coup, pour peu que la carte soit toujours mise dans le mème sens, celui qui trouverai l étui aurait toutes les infos de la cb!
" La plupart des gens ne réalisent pas ce qu'ils ont, car ils sont préoccupés par ce qu'ils n'ont pas. "

27 avril 2017 à 07:33:47
Réponse #5

Tompouss


Ca m'est arrivé il y a quelques mois, et c'est effectivement via le sans contact qu'on m'avait piraté (numéros grattés donc pas possible de faire une photo en douce ou autre), carte quasi neuve utilisée en ligne seulement sur Azimut Nature et coutellerie tourangelle au moment des faits (donc sur des sites de confiance).

(Je saurai même dire quand et où et reconnaître le mec qui m'a piraté, d'ailleurs si je croise il a intérêt à courir avec ses ptits bras de hipster végan  :lol: Hurgoz elle est pour toi celle là  ;D)

Du coup sur la nouvelle j'ai gratté les numéros (avant et arrière, en les mémorisant bien sûr) et j'ai percé l'antenne, comme ça même si je la perd, qu'on me braque ou autre le type ne pourra rien en faire  ;)
Sometimes you gotta remember : everyone wasn't raised like you...

27 avril 2017 à 09:05:28
Réponse #6

azur


C'est quand même bizarre: par le "sans contact", les paiements sont limités à 2x20€... donc 40€ maximum qui sont couverts par l'assurance de la carte.

Pour éviter l'utilisation frauduleuse, la petite pochette "faraday" est largement suffisante

Après, lors d'un déplacement à l'étranger avec des boutiques qui n'utilisent que l'empreinte de la carte... méfiance méfiance!
De toute façon, le seul moyen vraiment fiable de ne jamais se faire pirater sa carte... c'est de ne pas en avoir!

Et comme il a déjà été dit, les banques françaises ont un système de détection des anomalies de paiement qui s'avère assez efficace.
Tout le monde savait que c'était impossible... est venu un idiot qui ne le savait pas, et qui l'a fait!

27 avril 2017 à 11:38:58
Réponse #7

Bolivar


Ma carte est dans un étui en polycarbonate rigide, transparent, avec une plaque métallique d'un seul côté, contre laquelle on glisse la CB. Malgré le «un seul côté» qui peut laisser perplexe, cela fonctionne très bien (testé). Cela doit faire 4mm d'épaisseur, mais ma CB est dans ma poche, pas dans le portefeuille.
Trouvable sur Amaz*n, et sans doute ailleurs, pour 4 ou 5 euros.

27 avril 2017 à 12:16:47
Réponse #8

Arnaud


C'est quand même bizarre: par le "sans contact", les paiements sont limités à 2x20€... donc 40€ maximum qui sont couverts par l'assurance de la carte.

Tu n'as pas saisi je pense, le problème n'est pas l'utilisation du sans contact par un pirate pour faire un paiement mais pour récupérer le numéro et la date d'expiration de la carte, qui ne sont pas sécurisés.

Pour éviter l'utilisation frauduleuse, la petite pochette "faraday" est largement suffisante

Pour contrer un gamin qui "joue" au pirate avec son portable oui, si c'est un pro avec du matos, la pochette ayant un trou et n'étant donc justement pas une vraie cage de faraday, c'est pas dit.

« Everybody has a plan until they get punched in the mouth.»

27 avril 2017 à 12:37:59
Réponse #9

Tompouss


Dans mon cas la cage de faraday aurait été inutile, le pirate étant stationné non loin d'une caisse de paiement donc à un endroit où les gens sortent leur carte pour payer.

Il a utilisé un petit PC relié à un boitier et une antenne pour scanner sur un plus grand rayon (je me suis penché sur le sujet mais le forum étant en lecture libre je ne donne volontairement pas plus d'infos mais en gros avec un peu de matos on peut scanner les cartes dans un rayon de 10m)
Sometimes you gotta remember : everyone wasn't raised like you...

27 avril 2017 à 12:44:52
Réponse #10

KYUBY


Dans mon cas la cage de faraday aurait été inutile, le pirate étant stationné non loin d'une caisse de paiement donc à un endroit où les gens sortent leur carte pour payer.

Il a utilisé un petit PC relié à un boitier et une antenne pour scanner sur un plus grand rayon (je me suis penché sur le sujet mais le forum étant en lecture libre je ne donne volontairement pas plus d'infos mais en gros avec un peu de matos on peut scanner les cartes dans un rayon de 10m)

+1 je confirme malheureusement cette technique

La seul option est la désactivation du NFC sur la carte

27 avril 2017 à 13:22:44
Réponse #11

azur


Tu n'as pas saisi je pense, le problème n'est pas l'utilisation du sans contact par un pirate pour faire un paiement mais pour récupérer le numéro et la date d'expiration de la carte, qui ne sont pas sécurisés.
Des données qui ne sont (théoriquement) pas suffisantes pour une utilisation en France... mais malheureusement il n'en est pas de même à l'étranger.

Après, il y a la solution d'avoir:
- une carte avec NFC restreinte à l'utilisation sur le territoire métropolitain et dont le numéro ne peut pas être utilisé à l'étranger (ça existe)
- une carte sans NFC qui sert pour les voyages...
Mais c'est plus contraignant.
Tout le monde savait que c'était impossible... est venu un idiot qui ne le savait pas, et qui l'a fait!

27 avril 2017 à 14:40:56
Réponse #12

Arnaud


Attention... quand tu dis ne pas vouloir le sans contact, suivant les banques on te fournira soit effectivement une carte sans RFID et donc "sûre"... soit une carte avec RFID dont la fonction paiement est désactivée mais dont le numéro peut encore être extrait... et là percer l'antenne est bien la seule possibilité pour ne plus être vulnérable.
« Everybody has a plan until they get punched in the mouth.»

27 avril 2017 à 15:38:12
Réponse #13

Cheyenne


C'est quand même bizarre: par le "sans contact", les paiements sont limités à 2x20€...

Effectivement, les paiements aux USA ont été de petites sommes.
sans doute pour ne pas alerter.
Heureusement le systeme français a bien fonctionné et je confirme, ça devrai rien me couter.

27 avril 2017 à 20:07:01
Réponse #14

Tompouss


En fait avec son appareil le mec a ton nom, ton numéro de carte et la date d'expiration. Sur certains sites étrangers dont les sites US, pas besoin du cryptogramme. Donc ils peuvent y acheter ce qu'ils veulent, notemment des jeux ou des trucs comme ça en télechargement payant.
Sometimes you gotta remember : everyone wasn't raised like you...

28 avril 2017 à 00:45:58
Réponse #15

Hurgoz


Yo,

(Je saurai même dire quand et où et reconnaître le mec qui m'a piraté, d'ailleurs si je croise il a intérêt à courir avec ses ptits bras de hipster végan  :lol: Hurgoz elle est pour toi celle là  ;D)

T'es sal*p: il est probablement même pas majeur, et complètement Geek....le type qui t'a bien arnaqué! ;#

Après, pour info, avec un bête téléphone portable avec lecteur NFC et le soft quivabien tu lis à 10-15cm....une file d'attente peu largement suffir....

Après on en avait aussi causé là, pour info: http://forum.davidmanise.com/index.php/topic,67888.msg544901.html#msg544901

Tcho

Hugo
"Considérant qu'il est essentiel que les droits de l'homme soient protégés par un régime de droit pour que l'homme ne soit pas contraint, en suprême recours, à la révolte contre la tyrannie et l'oppression." DUDH

30 avril 2017 à 22:26:19
Réponse #16

Le-Jerome


L'an dernier, j'ai fais désactiver le paiement sans contact sur ma carte, en cas de vol cela limite les problèmes. Pour cela j'ai juste eu à faire un courrier signé à ma banque (société générale).
A voir avec la banque dont on dépend, je pense que c'est faisable.

Pour le reste je sais qu'un emballage de papier alu arrête les ondes des téléphone portables, à voir pour les ondes RFID...

Jérôme
un héros, c'est un abruti qui a eu de la chance

03 mai 2017 à 23:28:53
Réponse #17

Vitaly


Je suis au cmb et sur mon compte perso je peux désactiver le paiement sans contact.
A voir pour les autres banques...

04 mai 2017 à 09:09:06
Réponse #18

Troll


Hello,

Je valide pour le pc et le rayon d'action à 10 ou 15m. La plupart de mes recherches tendent également vers ces valeurs.

A ceci, il n'y a rien de réellement plus efficace (si l'on ne veut pas percer sa carte naturellement) que l'observation attentive de l'environnement. 10 - 15m peuvent rester une zone "checkable" à l'entrée et à la sortie du magasin. Même les mini pc munis d'une antenne restent "encombrants" et visibles. Effectivement cela oblige à rester en mode "veille" tout le temps...

Pour ce qui est des téléphones, la chose est plus technique et j'avoue ne pas avoir trouver de sources fiables pour avoir une réponse homogène. Certaines sources d'informations disent une vingtaine de cm (donc on peut facilement contrôler) d'autres autour de 80cm (plus difficile).

A mon sens, si on ne se sert jamais du sans contact, autant percer l'antenne ;)

Bien à vous,

Troll
Semper potest proficio

04 mai 2017 à 10:50:53
Réponse #19

Sylvoster


Il a utilisé un petit PC relié à un boitier et une antenne pour scanner sur un plus grand rayon (je me suis penché sur le sujet mais le forum étant en lecture libre je ne donne volontairement pas plus d'infos mais en gros avec un peu de matos on peut scanner les cartes dans un rayon de 10m)

Cette distance de 10m m'étonne grandement. Pour avoir bosser sur du NFC pendant plus d'un an pour les modules de relevage des compteurs d'eau, je ne vois pas comment c'est possible.
Une puce NFC possède un antenne très petite et aucune alimentation. La seule alimentation provient de la conversion du signal de l'émetteur par effet inductif. Déjà vu la taille de l'antenne la puissance récupérer est pas bien grande, quand ensuite derrière cette puissance est réutilisée pour réméttre on obtient un signal retour très faible. Sans oublier que la puissance du signl diminue avec le cube de la distance, donc honnêtement je ne vois comment ont peut avoir une distance de lecture de 10m.

04 mai 2017 à 12:37:35
Réponse #20

Tompouss


L'une de des sources sur lesquelles je me suis appuyé pour la distance :

https://korben.info/les-cartes-bancaires-sans-contact-nfc-ne-sont-pas-securisees.html

Je ne m'étendrai pas sur le matos nécessaire pour ne pas simplifier la tâche aux petits rigolos qui voudraient tenter le coup mais clairement c'est possible tout comme booster le bluetooth ou le wifi
Sometimes you gotta remember : everyone wasn't raised like you...

04 mai 2017 à 14:24:49
Réponse #21

herisson59


Bonjour à tous
sensibilisé sur l'aspect fraude, je suis assez souvent sollicité sur les conséquences, j'ai opté pour la prévention.
le piratage sauf erreur de ma part ne récupère que le numéro de carte, la date de "péremption" et quelque fois l'historique.
j'ai opté pour un porte carte "métallique" contenant 8 à 10 cartes qui en plus d'éviter le piratage de la carte évite la démagnétisation des tickets de métro par exemple (ça m'est arrivé plusieurs fois). Ceci n'endommage pas la carte.
La banque a aussi son rôle à jouer; à chaque demande de retrait (achat) la banque m'envoi une info avec un code unique de confirmation d'achat à 6 chiffres que je dois insérer. pas de code pas de débit mais une alerte comme quoi on a essayé de me soulager.
seul investissement le porte carte!
Maintenant si la récupération de ces données est faite pour recréer une doublette en achat direct avec empreinte et pas de code, je ne vois pas de solution, mais là on n'est plus dans le bidouillage . 
La "sécurité" a-t-elle un prix? il faut avoir été victime (ou en connaitre ) pour le savoir
Pascal

04 mai 2017 à 14:34:57
Réponse #22

Sylvoster


j'ai opté pour un porte carte "métallique" contenant 8 à 10 cartes qui en plus d'éviter le piratage de la carte évite la démagnétisation des tickets de métro par exemple (ça m'est arrivé plusieurs fois). Ceci n'endommage pas la carte.
Tu aurais la référence ça m'intéresse :).

L'une de des sources sur lesquelles je me suis appuyé pour la distance :

https://korben.info/les-cartes-bancaires-sans-contact-nfc-ne-sont-pas-securisees.html

Je ne m'étendrai pas sur le matos nécessaire pour ne pas simplifier la tâche aux petits rigolos qui voudraient tenter le coup mais clairement c'est possible tout comme booster le bluetooth ou le wifi
Merci pour le lien mais je ne vois pas en quoi cela valide la thése d'un piratage à 10m. OK le protocole de com n'est pas crypter donc pas sécuriser. Mais cela ne contredis en rien mon premier commentaire. Le fait qu'on puisse booster un signal wifi ou un signal bluetooth je suis tout à fait d'accord car ce sont des système actifs, le RFID est un système passif (dans le sens ne possèdant pas sa propre alimentation). De plus dans une communication bi-directionnelle il y a un emetteur et un récepteur qui réémet ensuite. donc tu as beau booster à mort ton émetteur à toi tu ne peux pas bosster la partie éméttrice de la carte que tu essais de pirater. Sa distance d'émission est limitée par les lois de la physique en fonction de la puissance du signal électriquen de la taille de l'antenne et de sa forme.
NFC ne veut pas dire communication en champs proche pour rien...

Donc je suis désolé mais je ne vois toujours pas techniquement comment on peut pirater une carte NFC à 10m de distances. Après je dis pas que c'est pas possible que je dis qu'avec mes connaissances actuelles je ne vois pas comment c'est possible.

04 mai 2017 à 14:47:38
Réponse #23

Tompouss


En fait le pirate récupère le numéro de carte, la date de fin de validité et le nom du détenteur, rien de plus n'est requis pour bons nombres de paiements sur des sites étrangers (US notamment).

Pour le matos avec un lecteur type Symbol XR400 et une antenne haute performance adaptée (motorola AN400) il y a même des petits malins qui s'amusent à "farmer" les cartes bleus en voiture... Par contre effectivement on ne parle plus du petit hacker de bas étage avec son appli de lecture RFID sur smartphone qui scanne l'air de rien dans les trams bondés  ::)

PS : les références matérielles ont été citées car facilement trouvables sur internet, si cela gène l'équipe de modération pas de souci pour effacer.
Sometimes you gotta remember : everyone wasn't raised like you...

04 mai 2017 à 18:29:41
Réponse #24

herisson59


Sylvoster

pas très difficile de trouver sur le net tu en as à tous les prix.
Après en avoir eu 3 de ce modèle
 
https://www.asmc.fr/Bagagerie/Divers/Divers/Portefeuilles/Porte-feuille-Rothco-Aluminium-noir-p.html

j'ai jeté l'éponge. Certes pas cher, moins de 7 € mais fragile de l'intérieur (les soufflets se déchirent), fragile de l'extérieur (le système de fermeture et les pivots qui cassent).

je suis passé à ça modèle "grand luxe" il y avait une promo (-20%)  OUF!   

https://www.porte-cartes.fr/ogon/ogon-code-wallet-mini-safe-argent

un petit peu plus volumineux mais plus costaud (ça tient qd même dans une poche de jean et c'est assez plat pour un costume)   avec en plus une petite combinaison pour tenir à l'écart la petite souris qui avait l'habitude de venir se servir le soir!

il y a d'autres modèles sans la combinaison pour le prix des 3 que j'ai inutilement bouzillés.
Recyclage j'ai viré les soufflets mis dedans kit feu, kit couture, kit urgence individuellement fermé avec ductape et le tour est joué.

tu n'auras pas de mal à trouvé ton bonheur

Pascal

 


Keep in mind

Bienveillance, n.f. : disposition affective d'une volonté qui vise le bien et le bonheur d'autrui. (Wikipedia).

« [...] ce qui devrait toujours nous éveiller quant à l'obligation de s'adresser à l'autre comme l'on voudrait que l'on s'adresse à nous :
avec bienveillance, curiosité et un appétit pour le dialogue et la réflexion que l'interlocuteur peut susciter. »


Soutenez le Forum

Les dons se font sur une base totalement libre. Les infos du forum sont, ont toujours été, et resteront toujours accessibles gratuitement.
Discussion relative au financement du forum ici.


Publicité