[TUTO] Protéger sa carte bancaire

[Le PoissonClown]

Bonjour à toutes et tous !

Saviez-vous que la sécurité informatique passe aussi par le téléphone et… la carte bancaire ?

Hé oui, on l'oublie parfois mais la carte bancaire est incluse dans le domaine des systèmes d'information, au même titre que l'ordinateur et même le téléphone de grand-maman !
Par téléphone, il est tout autant possible de se faire pirater, comme par exemple, en se faisant usurper son identité ou dérober ses données personnelles, simplement par abus de confiance durant un appel (ingénierie sociale). Mais cela fera peut-être l'objet d'un prochain tuto…

Concernant la carte bancaire, il est possible de se faire dérober ses informations très facilement.
Voyez comment :

 

Risque 1 : laisser lire les numéros de la carte

Votre commerçant filme sa caisse à l'aide d'une caméra haute définition… qui est connectée sur le Net sans protection. Vous croyez cela peu probable ? Détrompez-vous !
Une petite recherche sur le site Shodan permet de se rendre compte à quel point le nombre de caméra connectées sont accessibles sans modification des paramètres par défaut, et parfois même pire encore : sans avoir modifié le mot de passe d'origine !!!
Sans être un pirate expérimenté, au bout de quelques essais, il est possible de se connecter à l'une d'entre elles…

Effrayant de stupidité ! 

Attention aussi aux webcams : en piratant la caméra intégrée à l'ordinateur avec un spyware, il est alors intéressant de surveiller le propriétaire faisant ses achats sur le Net avec sa carte. Avec une alerte dès la connexion du PC sur un site de e-commerce connu, le pirate pourra déclencher un enregistrement et récupérer des images intéressante pour peu que la webcam ne soit pas obstruée et qu'elle soit de qualité acceptable.

Et enfin, dernière option pour le pirate : l'appareil photo miniature. Il est aujourd'hui facile de dissimuler un appareil photo miniaturisé de haute définition à peu près n'importe où, que ce soit dans une bouteille ou même sur le manteau du pirate. Beaucoup l'ont fait sur certains distributeurs de billets. Sauf que si le pirate ne peut pas lire les numéros, il n'aura que votre code secret ! Haha !

Voici comment faire :
C'est très simple ! Il suffit de masquer tout ou partie des numéros (y compris le cryptogramme) avec du ruban adhésif et du carton souple :

Découpez dans du carton souple une languette de la taille de votre suite de chiffres, puis recouvrez-la de ruban adhésif bien collant sur les numéros de votre carte à l'avant et à l'arrière. En faisant ainsi, vous n'aurez aucun numéro qui apparaîtra en surimpression.

Pour le cryptogramme, pas besoin de carton puisque les numéros ne sont pas embossés. Un petit bout de bande adhésive opaque suffit.

Et enfin, mettez un post-it ou un cavalier en papier sur votre webcam lorsque vous retirez le ruban adhésif pour recopier les numéros lors de vos achats en ligne.

Et voilà ! Facile et gratuit.

 

Risque 2 : laisser des données de paiement sans contact exploitables se diffuser

Savez-vous que la plupart des cartes bancaires sont équipées depuis 2013 environ, d'une antenne RFID pour le paiement sans contact ?

Pour ces cartes, le risque est encore moins visible :
En effet, les données utiles pour réaliser un paiement sans contact qui diffusées par cette antenne RFID ne sont pas toujours protégées.
Et à moins de 100€, un pirate légèrement expérimenté en informatique est capable de monter un appareil de lecture RFID miniature pour capter automatiquement les informations de la puce à moins de 10cm, dans le métro, une foire, un concert… ou tout autre endroit où chacun se presse dans la foule.

Avant de foncer chez votre banquier hurler au scandale : 

• Sachez que depuis 2015, la loi impose aux banques de ne plus laisser de donnée personnelle lisible via cette fonctionnalité.
• Votre banquier pourra certainement vous rétorquer à raison que vous êtes de toute façon couvert par une assurance en cas de litige, et que les soucis de piratage via le RFID sont très rares.
• La plupart des banques vous proposeront de bloquer le paiement sans contact. Ce qui ne règle en rien le problème, puisque l'antenne fonctionnera toujours et conservera les données, mais cela pourra vous faire croire le contraire.
• Vous allez passer pour un idiot parce que le personnel dans les banques est persuadé que tout est ultra-sécurisé et ne se laisse pas démonter face aux arguments techniques y compris s'ils ne les maitrisent absolument pas.
• Certaines banques vous proposeront de leur acheter un étui anti-ondes certifié (… ou pas !).
• Et enfin, qu'est-ce qui vous dit que les infos que diffuse votre carte en RFID ne sont pas efficacement protégées ?

Alors pourquoi ne pas aller plutôt chez votre commerçant préféré lui demander ce qu'il peut tirer de votre maudite carte ?
Eh bien sachez que la plupart des appareils de paiement n'affichent tout simplement rien ! Votre commerçant ne pourra pas vous renseigner !

Alors comment vérifier… sans demander à un pirate, évidemment !?
… Eh bien avec votre smartphone, pardi !

Il existe des applis pour smartphone de confiance pour ça. Je ne connais que celle-ci mais il doit certainement en exister d'autres.
Faites bien attention à ne pas télécharger une application pirate !!! Ce serait bête quand-même de vous faire piéger en essayant précisément de sécuriser votre carte.

 Horreur ! Des infos personnelles apparaissent ?!

Alors voici comment remédier vous-même au problème :

1. En brouillant le signal avec une autre puce
   Aussi étrange que cela puisse paraître, ce n'est pas compliqué du tout d'annuler le signal RFID de votre carte. Il suffit simplement de poser une autre puce RFID sur votre carte bancaire pour rendre les signaux illisibles ! Tout simplement !
   Ne tombez pas dans le panneau des vendeurs de cartes brouilleuses de signal, n'importe quelle antenne RFID fait l'affaire, telle qu'une autre carte avec NFC ou une carte de bus ou un bête antivol toujours avec une puce RFID.
   Lors de vos transactions, il suffira de retirer la carte de l'autre antenne pour que le payement sans contact fonctionne.
    
2. En emballant sa carte dans du métal
   Sachez qu'il existe différents étuis en métal pour empêcher la lecture de l'antenne RFID. Attention aux arnaques : certains étuis sont tout simplement inefficaces (couche de peinture métallisée sans aucun effet). Le mieux est encore de le fabriquer vous-même avec du papier aluminium renforcé avec du ruban adhésif.
    
3. En coupant l'antenne
   Vous êtes allergique au NFC ? Vous pouvez couper l'antenne sans casser la puce de votre carte. En revanche, impossible ensuite de rétablir la fonction de payement sans contact.
   Typiquement, l'antenne RFID se disperse un peu partout sur votre carte bancaire à l'intérieur de la couche de plastique. Il suffit donc avec une lumière forte de repérer un fil de cette antenne, de marquer au feutre l'endroit à couper, puis de creuser un peu (en faisant tourner une lame de cutter ou avec une petite fraiseuse). Ou alors vous pouvez faire une entaille aux ciseaux si vous avez le fil de l'antenne qui passe en périphérie. Ou vous pouvez carrément poinçonner la carte, à un endroit peu gênant.
   Attention cependant à ne pas couper la puce du lecteur classique ou la bande magnétique !

 

Risque 3 : le phishing sur le Net et par correspondance

Avant-dernier risque, et non des moindres : les règlements par correspondance.

Les achats sur le Net font l'objet de plus de fraudes que le vol de données par l'antenne RFID. Il est donc utile de porter une attention particulière à ces derniers cas.

Quelques règles élémentaires :

1. On ne divulgue jamais son numéro de carte bancaire par correspondance ! Ni par mail, ni par téléphone, ni par tchat.
   Sur le Net, on ne le fait que depuis un formulaire de confiance (cf. points suivants).
    
2. On se renseigne toujours sur la réputation d'un site de commerce en ligne avant de faire un achat dessus. Pour cela, vous avez des sites spécialisés et même des extensions de navigateur.
    
3. On vérifie toujours dans l'adresse, que le dernier nom du site est bien le site officiel. Seul le dernier nom compte ! Si par exemple vous avez https://nomdusite.truc.sitepirate.com/rubrique/page/ ici, le dernier nom du site est "sitepirate.com" et non-pas "nomdusite.truc", vous êtes donc sur un site différent.
    
4. On vérifie toujours que le formulaire de saisie des données personnelles est bien sur une page en HTTPS ! Et donc que l'icône du cadenas apparaît sur la barre d'adresse du navigateur.

Pour sécuriser ses achats sur le Net, renseignez-vous auprès de votre banque sur les options utiles pour les achats en ligne. Il existe des système de validation de paiement, ou de plafonds.
Et si ces options ne vous conviennent pas, vous pouvez opter pour PayPal ou PaySafe Card par exemple.

D'ailleurs, si vous connaissez un service du genre, n'hésitez pas à en parler en commentaire.

Risque 4 : le piratage physique des appareils de lecture

Merci @calisto06 pour son témoignage ci-dessous, qui m'a permis de rajouter ce dernier point.

En effet, si votre distributeur à billets, ou votre pompe à essence comporte un lecteur pirate entre votre carte et le véritable lecteur, c'est impossible de le savoir ou de s'en protéger (les techniques de camouflage sont parfois bien fichues).

Donc si le lecteur de carte de votre pompe à essence habituelle ou de votre distributeur à billet change soudain d'allure, rabattez-vous sur les valeurs sûres qui sont à votre portée (autre pompe, autre distributeur, tant que c'est possible).

Et surtout, vérifiez vos débits sur votre compte bancaire associé.
Malheureusement, il n'y a pas vraiment de parade à ce type de piratage. Tout ce qu'on peut faire en préventif, c'est de se renseigner sur les modalités de recours auprès de sa banque si cela arrivait.

 

Voilà !

Je crois qu'avec tout ça, vous avez de quoi protéger vos sou-sous.

---

Et dernière chose :

Par pitié ne publiez aucune photo de votre CB avec numéros apparents sur le Net !!! Même en privé sur les réseaux sociaux !

Mais pourquoi certaines personnes sont bêtes à ce point !?

Modifié le 31 juillet 2018 par Le PoissonClown
Ajout de solutions de paiement sécurisés en ligne

[rodrigue7800be]

aussi le nfc a hacké pour attentif

[Le PoissonClown]

il y a une heure, rodriguem7973 a dit :

aussi le nfc a hacké pour attentif

Le NFC est surtout piraté pour les transports en commun parce que c'est assez peu sécurisé. Et il y a aussi les badges qui ont des puces RFID très peu sécurisées, certains commerçants proposent de les dupliquer au même titre que des clés de serrures.

Mais on ne peut pas forcément tout copier, et il y a des zones de ré-écriture… Les sécurités du NFC sont en train d'évoluer petit à petit et c'est une bonne chose.

[Delta]

Yop là,

moralité, 

retour a l'ancienne,

 

++

[Le PoissonClown]

il y a 57 minutes, Delta a dit :

Yop là,

moralité, 

retour a l'ancienne,

Perso, pour mes achats en ligne, je privilégie le cheik.

Sérieusement, je n'ai jamais vu d'article sur une duplication des données EMV de la carte bancaire via l'antenne RFID. Autant tu peux faire des clones de certains badges, autant certains autres et la CB, c'est pas faisable à ma connaissance. C'est peut-être crackable. Mais là faut être spécialiste en NFC et cracking.

Par contre, j'ai déjà vu certaines anciennes CB qui diffusent en clair via l'antenne RFID presque toutes les bonnes infos : nom, numéro et date limite.
Heureusement, c'est plus le cas depuis 2015 (pour les nouvelles cartes).

Modifié le 16 juillet 2018 par Le PoissonClown

[calisto06]

Oui j'ai été piraté une fois (je pense que c'était à une pompe à essence) et on ne voyait rien du tout sur le terminal qui pouvait laisser croire qu'il y avait un systeme de piratage . Moralité les mesures de mettre la main devant la carte ou autre servent très peu si il y a un dispositif pirate installé dans le terminal , mieux vaut surveiller ses comptes. La banque doit rembourser après dépôt de plainte les sommes piratées et c'est ce qui c'est passé 

[Le PoissonClown]

il y a 23 minutes, calisto06 a dit :

Oui j'ai été piraté une fois (je pense que c'était à une pompe à essence) et on ne voyait rien du tout sur le terminal qui pouvait laisser croire qu'il y avait un systeme de piratage . Moralité les mesures de mettre la main devant la carte ou autre servent très peu si il y a un dispositif pirate installé dans le terminal , mieux vaut surveiller ses comptes. La banque doit rembourser après dépôt de plainte les sommes piratées et c'est ce qui c'est passé 

Si le lecteur de puce est piraté, c'est clair que tu ne peux pas te protéger.
Mais si c'est une simple caméra, le fait de masquer les numéros peut éviter de se faire piquer ses données.

Edit : @calisto06, j'ai ajouté le cas évoqué en dernier point. Merci d'en avoir parlé.

Modifié le 16 juillet 2018 par Le PoissonClown

[scoumoune]

quand je dois entrer mes coordonnées pour un achat en ligne , https + clavier virtuel ....parait il que c'est le mieux ...

[rodrigue7800be]

salut

je suis retour pour une chose

vous avez intéressant webcam privacy cover

 

pas cher des prix 6,59€

https://www.amazon.fr/forepin-LOriginale-Autocollant-Smartphone-Pièces（Noir）/dp/B07CNSPZS4/ref=sr_1_5?__mk_fr_FR=ÅMÅŽÕÑ&keywords=privacy+webcam&qid=1554659256&s=gateway&sr=8-5

[safami]

Le ‎16‎/‎07‎/‎2018 à 11:02, Le PoissonClown a dit :

Je ne connais que celle-ci mais il doit certainement en exister d'autres.

pour info l'appli n'est plus disponible ^^
test effectué ce matin ;)

Si non super tuto bravo !

[Le PoissonClown]

Merci @safami, malheureusement, je n'ai pas de quoi tester d'autres applis.

Le 18/01/2019 à 15:00, scoumoune a dit :

quand je dois entrer mes coordonnées pour un achat en ligne , https + clavier virtuel ....parait il que c'est le mieux ...

@Paf Le Geek a fait une vidéo très instructive sur ce point. J'invite tout le monde à y jeter un œil :
https://solid.tube/v/111547_EXsrU5l

(La vidéo s'est fait striker sur YouTube, évidemment, quand on parle sécurité… )

[Steak]

Ce tuto me plait bien, j'ajoute quelques suggestions & questions, pour ceux qui auraient les réponses...

-------------

1 >> Plutôt que masquer les infos de la carte, les effacer en les grattant, ainsi même si la carte est volée ou perdue, les infos sont inaccessibles. Bien sûr il faut être certain de les retrouver. Pour ma part je les grave sous forme codée sur la carte elle-même et la clé de mon code est dans ma tête (= une suite de mots de 10 lettres différentes au total que je convertis en chiffres en les numérotant).

-------------

L'exemple du ticket de bus est super et m'a inspiré d'autres possibilités (CB périmée, forfait de ski, carte piscine, etc..) MAIS...

2 >> Quelle que soit la seconde carte envisagée, quel est le risque que la puce intégrée s'inactive physiquement = en vieillissant, en étant démagnétisée, autre... ?

3 >> Et est-ce qu'une seconde carte protège à tous les coups ? J'ai installé une appli NFC sur mon smartphone et lu des cartes d'accès diverses (piscine, remontées mécaniques,...) Quand j'en pose deux l'une sur l'autre la lecture est souvent impossible mais parfois encore possible !

-------------

À propos des étuis protecteurs

4 >> Est-ce que les sachets antistatiques emballant les pièces détachées informatique (mémoire RAM, etc...) n'ont pas les propriétés requises ? Suffirait-il d'en insérer une découpe en U à l'intérieur d'un porte-carte pour le sécuriser ?

5 >> J'ai lu que le cuir était protecteur, dans quelle mesure (épaisseur ?)

-------------

Toutes ces questions beaucoup plus par curiosité que par crainte disproportionnée de me faire pirater. J'utilise ma CB en ligne sans l'enregistrer dans mon profil client, je n'ai jamais activé le sans contact, un peu de bon sens protège autant que le reste. Enfin je perds ma CB une à deux fois par an, ma carte n'a jamais pu être utilisée frauduleusement.

 

Bien cordialement,

 

Steak