Question:
Pourquoi les puces sont-elles plus sûres que les bandes magnétiques?
Thomas
2014-01-23 19:05:33 UTC
view on stackexchange narkive permalink

Après le récent piratage de Target, on a parlé de passer des cartes de crédit à bande magnétique aux cartes à puce.

De quelles manières les puces sont-elles plus sûres que les rayures?

jamais mis un aimant puissant sur une rayure?
@ratchetfreak Que se passerait-il?
-1
@ratchetfreak Cela ne rendrait-il pas la puce plus sûre (quoique inutilisable)?
J'écoutais NPR parler de ce sujet ce matin. Apparemment, la plupart des pays du monde, à l'exception des États-Unis, se sont éloignés des bandes magnétiques.
La sécurité @BanksySan est la confidentialité, l'intégrité, * la disponibilité *.
@agweber C'est peut-être vrai. Je suis aux Pays-Bas (petit pays entre l'Allemagne et la France) et nous avons encore des bandes magnétiques sur nos cartes, alors qu'elles ne devraient plus être utilisées, pour donner aux magasins le temps d'acheter des machines de paiement alternatives.
En passant, comment une puce est-elle utilisée dans les transactions en ligne? Est-ce aussi sûr qu'une transaction en personne? Ce que je vois, c'est qu'une bande magnétique de sauvegarde peut être utilisée, mais cela semble contre-productif pour toute la raison d'avoir une puce en premier lieu. https://www.citi.com/credit-cards/template.do?ID=chip-technology-questions
Gardez à l'esprit que les cartes de débit (par exemple `` Maestro '') sont plus sûres que les cartes de crédit normales (MasterCard) car elles nécessitent une vérification EN LIGNE du code PIN.
@Jim - les transactions en ligne sont sans carte. Ils ne fonctionnent pas non plus, ils travaillent simplement sur le numéro de carte et généralement le fournisseur doit payer des frais plus élevés en raison du degré de risque plus élevé associé aux transactions sans carte.
Ces cartes * arrivent * aux États-Unis!
@Jim en Belgique, la banque lance un défi et vous avez besoin de la puce et d'un appareil spécial + PIN pour obtenir la réponse
@agweber C'est peut-être vrai. Je n'ai pas déménagé partout dans le monde, mais ici en Norvège, nous utilisons les puces comme norme de facto depuis quelques années maintenant.
@11684 Dans tous les pays que je connais, les cartes bancaires ont encore une bande magnétique qui peut être utilisée par les guichets automatiques. Mais il est plus difficile de parcourir un magasin car la carte reste généralement en dehors de la machine lors de l'utilisation de la puce.
Il est vraiment difficile de croire que les États-Unis utilisent encore des cartes sans puce. Je pense que je me souviens vaguement que mes parents en avaient eu quand j'étais jeune.
Cependant, Chip & Pin a également été piraté: - http://www.theregister.co.uk/2012/09/13/chip_and_pin_security_flaw_research/ - http://www.nbcnews.com/id/49020916/ns/technology_and_science- security / t / criminals-crack-European-chip-and-pin-cash-card-security / #. UuFNyk4o6Xk - http://www.zdnet.com/chip-and-pin-crack-code-released-as- open-source-3040090637 / - http://www.zdnet.com/chip-and-pin-is-broken-say-researchers_p2-3040022674/
Eh bien, tout est piratable si vous voulez obtenir du méta. C'est plutôt comme s'il est difficile de pirater la récompense qui vaut mon temps pour le pirater.
La difficulté de réussir cela par rapport à l'écrémage d'une bande magnétique est comme la différence entre courir 5 km et commencer à courir l'homme de fer.
Cela ressemble plus à la différence entre une marche de 1 km et gagner un défi Iron-Man.
mais ce n'est pas toujours le cas - le clonage de bande magnétique a probablement commencé assez dur, mais le coût du kit diminue, les gens automatisent le processus ... la puce et la broche devraient être intrinsèquement plus difficiles que la bande magnétique, mais pas de manière prohibitive à long terme. Et bien sûr, il y a toujours l'attaque à la clé obligatoire: https://xkcd.com/538/
Dans les années 90, je travaillais dans un club qui émettait des cartes de membre. Pour une raison quelconque, le graveur de cartes que nous avions à l'époque était capable d'écrire les mêmes données que celles utilisées sur les cartes bancaires (je ne me souviens pas des détails, mais je me souviens qu'il était multipiste?). J'ai lu ma carte bancaire et j'ai réécrit les mêmes données sur une carte de membre que je pourrais utiliser pour retirer de l'argent de mon compte. C'était un super tour de fête.
Cinq réponses:
paj28
2014-01-23 19:45:05 UTC
view on stackexchange narkive permalink

Vous ne pouvez pas cloner la puce.

Une bande magnétique contient un numéro secret, et si quelqu'un connaît ce numéro, il peut prétendre être le propriétaire de la carte. Mais si un méchant glisse la carte, il connaît alors le numéro et peut créer sa propre carte, c'est-à-dire "cloner". Cela s'est avéré être un problème pratique majeur avec les cartes à bande magnétique.

Une puce contient également un numéro secret. Cependant, il est solidement intégré à la puce. Lorsque vous utilisez la carte, la puce effectue une opération de clé publique qui prouve qu'elle connaît ce numéro secret. Cependant, il ne révèle jamais ce nombre secret. Si vous placez une carte à puce dans une machine de méchants, ils peuvent se faire passer pour cette transaction, mais ils ne peuvent pas se faire passer pour vous à l'avenir.

Tout ce qui précède suppose que l'implémentation de la puce est bonne . Certaines puces sont connues pour avoir des failles d'implémentation qui fuient le code secret. Cependant, la puce et la broche sont maintenant assez matures, donc je pense que la plupart de ces problèmes ont été résolus.

Bien qu'il soit difficile de rétroconcevoir l'une des puces habituellement utilisées dans les cartes à puce, ce n'est pas impossible. C'est juste que vous avez besoin d'un équipement de laboratoire d'une valeur de plusieurs milliers de dollars et d'experts qui savent comment l'utiliser, tandis qu'une bande magnétique peut être clonée par n'importe qui avec un matériel de 100 $ et des instructions étape par étape.
Il y a eu une discussion intéressante sur l'ingénierie inverse des cartes à puce au Chaos Communication Congress l'année dernière, malheureusement en allemand: http://www.youtube.com/watch?v=xlpudEdVv7A
La puce IIRC prend également en charge un mode hérité qui utilise un CVV1 comme la bande magnétique (pas de crypto en cours).
@Philipp Pour la plupart des crimes, il ne suffit pas de pouvoir cloner la carte, vous devez également le faire sans que le propriétaire ne s'en aperçoive et ne la bloque. Si vous avez déjà volé la carte afin de l'apporter à votre laboratoire de numérisation de puces pour la copier, pourquoi en auriez-vous besoin?
@eBusiness Je ne pouvais pas simplement le copier. Je pourrais également lire et même manipuler les données confidentielles qui y sont stockées.
Les cartes de crédit à puce actuelles, du moins ici aux États-Unis, n'utilisent pas de crypto. Mon smartphone peut utiliser NFC pour voler toutes les informations qui se trouvent sur la puce de ma carte Visa (qui comprend tout ce qui se trouve sur la bande magnétique).
Vous pouvez cloner une puce, comme indiqué dans cette question http://security.stackexchange.com/questions/46319/why-emv-cards-cannot-be-cloned/, et c'est plus simple que d'utiliser un équipement hors de la portée de la plupart . Cela demande beaucoup plus d'efforts et d'équipement qu'une copie à bande magnétique, mais cela peut toujours être fait pour moins de 1000 $.
En outre, le système à puce et à broche présente des avantages de sécurité non techniques. Par exemple, si vous payez votre repas dans un restaurant, si vous utilisez une carte magnétique, vous remettez généralement votre carte au serveur après qu'il ait apporté le chèque. Il traite ensuite généralement votre transaction à la caisse enregistreuse, ce qui signifie que votre carte vous laisse la vue pendant environ une minute, amplement de temps pour cloner votre carte si quelqu'un dans le personnel du restaurant est un escroc. Avec une carte à puce, un dispositif de point de vente portable est nécessaire, ou le client va à la caisse enregistreuse, la carte étant à sa vue tout le temps.
@Bob c'est vrai. Mais cela doit être activé par l'émetteur de la carte. Pourtant, la puce ne peut pas être clonée. Pourtant, si elle est activée, on peut créer une bande magnétique avec ces informations ou simplement l'utiliser en ligne. Il s'agit d'un risque élevé pour les cartes de paiement sans contact, car le propriétaire peut ne pas remarquer que sa carte est copiée.
Au Royaume-Uni, la puce et la broche sont la norme depuis des lustres. Vous aurez du mal à payer avec une carte américaine sans puce dans de nombreux endroits. Les transactions en ligne se font avec un défi-réponse à la puce de la carte, nécessitant un lecteur de carte (gratuit), la présence de la carte et la connaissance du code PIN. En outre, les cartes de crédit sont plus sûres que les cartes de débit, car la banque a une assurance contre la fraude et les remboursements à crédit, mais s'il y a des transactions douteuses de votre carte de débit, vous êtes responsable.
@OrangeDog Je suis d'accord avec la plupart de votre réponse, mais quelques points: les lecteurs de cartes ne sont pas gratuits; les marchands les louent généralement (à environ 30 £ par mois) bien que PayPal Voici une alternative intéressante. Les consommateurs ne sont pas responsables de la fraude par carte de débit (à condition qu'ils n'aient pas fait preuve de négligence), mais vous avez raison de dire que les cartes de crédit sont plus sûres, car pendant le litige sur une carte de débit, vous êtes hors de votre poche, tandis que sur une carte de crédit, l'émetteur de la carte est hors de la poche.
@Philipp Au moins les puces utilisées ici en Allemagne sont très sûres. Le seul hack que je connaisse avec les cartes de la génération actuelle est de broyer (c'est le mot correct ici) la carte, de prendre des photos de toutes les couches de la puce avec un microscope, de les coller semi-automatiquement ensemble sur un PC et d'utiliser un logiciel pour recréer semi-automatiquement les données de ces images.Pro: Vous pouvez même payer sans connaître le code PIN thenCon: La carte est détruite, le propriétaire le remarquera! Aussi très très coûteux et chronophage. Les voleurs ici copient simplement la bande magnétique héritée et utilisent le clone dans un pays du tiers monde ou aux États-Unis!
Les lecteurs de cartes @paj28 pour l'authentification bancaire en ligne sont gratuits (au moins tous les miens l'étaient). Je ne parlais pas des terminaux marchands.
Les guichets automatiques bancaires en ligne @paj28 sont généralement gratuits auprès de la banque, bien que si vous le perdez / le cassez, je suppose que la banque pourrait demander de l'argent pour un nouveau. Détails du système ici: https://en.wikipedia.org/wiki/Chip_Authentication_Program
Vous ne pouvez pas cloner la puce, mais le numéro de carte est toujours imprimé sur la carte. Vous pouvez donc toujours copier les informations d'identification de la carte et l'utiliser pour un achat en ligne. La seule façon d'arrêter cela est d'arrêter d'imprimer le nom et d'autres détails sur la carte.
Rory Alsop
2014-01-23 19:58:16 UTC
view on stackexchange narkive permalink

La puce effectue une opération cryptographique sur les données qui lui sont transmises qui nécessite la connaissance de la clé qui est fortement protégée dans la puce - un attaquant ne peut donc pas copier facilement la carte.

Cela dit, il y a quelques articles de recherche réussis sur le timing ou les attaques de puissance, mais ceux-ci proviennent de conditions de laboratoire, et probablement pas un réel souci dans la nature.

Au Royaume-Uni, presque toutes les cartes bancaires sont à puce et à broche - ce qui mènent à l'un de nos types de fraude les plus courants: la bande magnétique est écrémée et les détails sont utilisés dans un pays sans infrastructure à puce et à broche.

+1 pour fraude à la bande magnétique à l'étranger. C'était aussi le cas pendant un certain temps que certains distributeurs automatiques de billets ne vérifiaient que la bande magnétique. Je pense que c'est maintenant corrigé
La puce IIRC prend également en charge un mode hérité qui utilise un CVV1 comme la bande magnétique (pas de crypto en cours).
L'attaque de l'homme au milieu a également été prouvée il y a quelque temps. Cela deviendra beaucoup plus facile avec des appareils mobiles aussi puissants que nous transportons tous.
Est-il possible d'obtenir une puce et une carte pin * sans * bande magnétique?
@gerrit un aimant puissant corrompt la bande magnétique, alors faites-le simplement :)
Le problème est qu'il est assez facile de fabriquer une fausse machine à puce et à broche pour enregistrer le code PIN et lire la bande et les informations imprimées sur la carte. Vous pouvez ensuite créer une carte clone à utiliser dans les machines américaines et vous avez le code PIN.
Un chercheur de l'ISTR au Royaume-Uni a délibérément fait frire les puces puis essayer les cartes dans des trous dans le mur - qui s'est rabattu sur l'utilisation des données de la bande magnétique sans aucune plainte ..... mais c'était il y a quelque temps.
Fonctionne également hors de l'étranger, vous pouvez endommager la puce, et après 3 tentatives avec la puce cassée, il vous demandera d'utiliser la bande magnétique (dans environ 80% des machines que j'ai utilisées en NA). Donc, à ce moment, cela n'ajoute presque aucune sécurité supplémentaire, mais finalement / espérons qu'ils élimineront complètement la bande magnétique.
@Spooks, votre banque est informée que la bande magnétique a été utilisée, elle peut donc l'utiliser dans le cadre d'un système d'exploration de données pour détecter les voitures volées.
@Spooks, certains marchands au Royaume-Uni sont * très * réticents à accepter des transactions par bande magnétique pour cette raison. (ce qui peut être pénible pour les étrangers avec des cartes sans puce.
AJ Henderson
2014-01-23 21:55:24 UTC
view on stackexchange narkive permalink

La bande magnétique contient les informations exactes utilisées pour identifier la carte. La puce contient une information qu'elle ne partage pas, mais qu'elle peut utiliser pour prouver qu'elle a cette information.

Ainsi, une bande magnétique est stupide et peut être copiée, mais puisque la puce ne ne dévoilez pas son secret, un fournisseur ne peut pas simplement le copier lorsque vous l'utilisez.

Une bande magnétique indique "Je suis une carte de crédit ABC". lorsque le point de vente demande le numéro. Avec une puce, le point de vente dit "quelle est votre réponse à cette valeur aléatoire?" et la puce donne une réponse que le point de vente peut valider, mais comme le prochain point de vente utilisera une valeur aléatoire différente, la réponse est inutile pour un voleur.

Boluc Papuccuoglu
2014-01-23 20:59:42 UTC
view on stackexchange narkive permalink

Les autres réponses déjà données sont correctes, mais je voudrais donner la réponse suivante sans connaissances techniques requises de la part de la personne qui demande:

Lorsque vous utilisez une carte de crédit à bande magnétique, le l'appareil dit à la carte: "Mon utilisateur entrera un code PIN pour vérifier, laissez-moi lire votre bande pour que je puisse la vérifier".

( MODIFIER :

OK, le paragraphe ci-dessus n'est pas ce qui se passe réellement. Mais le POS (ou un autre) appareil lit (ou est capable de lire) toutes les informations contenues dans la bande. Cela signifie que vous pouvez fabriquer une carte qui est à toutes fins utiles et propose une copie.)

Lorsque vous utilisez une carte de crédit à puce, l'appareil dit à la puce de la carte: "Mon utilisateur a fourni 4567 comme code PIN, c'est c'est correct? "

Maintenant, parce que la puce est plus intelligente qu'une bande magnétique (qui n'est en fait qu'un magasin de données), elle peut répondre à cette question. De cette façon, le code PIN peut rester masqué.

Ce n'est pas correct. Le code PIN n'est pas stocké sur la bande magnétique (bien qu'il soit juste que la puce puisse authentifier le code PIN). Le problème avec la bande magnétique est le clonage de la carte à utiliser sans code PIN, sans fuite du code PIN.
Oui, c'est vrai, mon mal. Mais l'essentiel de ma réponse est la suivante: l'appareil lit (ou peut lire) TOUTES LES INFORMATIONS stockées sur la bande magnétique. Alors qu'avec une puce, vous pouvez retenir les informations de tous les appareils et demander à la puce les informations d'authentification.
L'appareil afaik ne vérifie pas le code PIN de la bande magnétique. Les codes PIN à bande magnétique sont envoyés en amont en ligne à la banque pour validation. La bande magnétique ne contient pas assez d'informations sur les pistes pour valider un code PIN (du moins pas MasterCard ni Visa)
+1 pour la modification - la nouvelle explication est bonne.
Si l'appareil dit à la carte «l'utilisateur a entré le code PIN 1234» et que la carte répond «c'est correct», comment, exactement, le code PIN reste-t-il caché?
@SoftwareMonkey le périphérique est le périphérique d'entrée pour la broche dont vous ne pouvez pas le cacher, pour éviter la force brute, la puce se désactive après 3 essais
Donc, quelqu'un peut encore voler la carte physique et obtenir le code PIN du système de point de vente? Il n'y a aucune sécurité pour arrêter ce scénario? Par exemple, si un caissier gère la carte pour vous, et "oublie" de la rendre, et a un moyen de lire la mémoire du PDV?
@iconoclast: En effet, mais je pense que l'hypothèse est que l'appareil de point de vente est au moins aussi difficile que la carte à manipuler. Je ne sais pas dans quelle mesure il serait possible de construire un terminal de point de vente «diabolique» qui enregistre tous les codes PIN, mais vous devez quand même voler la carte que le titulaire de la carte remarquera probablement (contrairement au cas de la bande magnétique où vous pouvez rapidement copier le carte sans que le propriétaire s'en aperçoive).
Les terminaux POS communs (légitimes) @EmilStyrke, pour puce et broche auront des interrupteurs d'arrêt internes et des membranes de protection pour les désactiver en cas de falsification. Cependant, l'esprit des normes est souvent mal mis en œuvre par l'industrie des cartes, au point que ces protections sont banalement contournées. Authentifier un terminal C&P jamais vu auparavant comme étant légitime et non modifié hélas reste non résolu (non déployé), mais l'opinion des utilisateurs le conduit car la plupart des utilisateurs feront implicitement confiance à ces terminaux sans plus penser à vérifier les scellés / marques de protection (de toute façon peu pratique).
Chris H
2014-01-23 22:03:30 UTC
view on stackexchange narkive permalink

Vous voudrez peut-être clarifier votre question - voici une réponse expliquant pourquoi il est plus sûr l'émetteur de la carte :

Si une carte à bande magnétique est volée, il est assez facile pour le voleur de l'utiliser de manière frauduleuse - à quelle fréquence les signatures sont réellement vérifiées (en fait, aux États-Unis, la carte m’a souvent été rendue avant de signer, même si aucune pièce d’identité supplémentaire n’est demandée).

Si une carte chip&pin est volée puis utilisée frauduleusement, la carte seule n'est pas suffisante pour être utilisée - une bonne chose bien sûr - mais cela incombe au propriétaire de protéger la broche (vérifiez les T&Cs). la carte a été volée juste après que le propriétaire a utilisé un distributeur automatique où le voleur a surfé sur l'épaule du NIP, le voleur est au moins aussi susceptible de s'en tirer en utilisant la carte - et peut maintenant retirer de l'argent plutôt que d'acheter des marchandises comme une signature falsifiée permettrait.

Ensuite, bien sûr, il y a la simple question d'intimider (ou pire) la victime d'un vol en lui donnant le code PIN.

Voici un art de la BBC icle - nous sommes sur chip&pin au Royaume-Uni - une citation de près de la fin

[La banque de la victime], Barclays, a rendu les 640 £ qu'elle avait perdues, mais certaines banques peut être réticent à payer des remboursements si les gens ont été négligents avec leurs codes PIN.

edit: généralisé "banque" à "émetteur de carte"

S'il y a une façon particulière pour le demandeur de clarifier sa question, pourriez-vous laisser un commentaire sur la question demandant cette clarification? Les commentaires sont le lieu des demandes de clarification plutôt que des réponses. Ironiquement, on ne sait pas de quelle manière vous trouvez la question peu claire, alors soyez clair à ce sujet!
@JonathanHobbs, assez juste, mais je ne demandais pas de clarification en soi. Je répondais à la question d'un autre point de vue tout en reconnaissant que le problème OP signifiait "plus sûr pour l'utilisateur"
Vous pouvez vérifier une pièce d'identité, mais le caissier ne sait pas qu'une signature est valide ou qu'elle appartient à la personne.
Malheureusement, EMV (le protocole Chip & PIN) présente de nombreux défauts qui, historiquement, signifiaient que la carte * était * suffisante. Par exemple, la réponse "PIN okay" de la carte peut être soumise à une attaque MITM, car la réponse "tout OK" signal 0x9000 de la puce au dispositif de saisie du code PIN n'est pas authentifiée (source: http: // www. cl.cam.ac.uk/~sjm217/papers/oakland10chipbroken.pdf). J'ai perdu la trace de l'état actuel des vulnérabilités dans EMV comme celles-ci, mais les banques ont toujours été réticentes à les corriger. (Moins cher à payer dans la poignée de cas contestés avec succès.)


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...