L’information a été révélée par Le Figaro. Développée par un chercheur anglais, une astuce permet de faire croire à un terminal de paiement qu’un utilisateur de carte bancaire a bien saisi le code confidentiel alors que ce n’est pas le cas.
Dès que cette information a été reprise par la presse, "La France a eu peur" pour reprendre cette célèbre expression de Roger Gicquel ! Aussitôt des micro-trottoirs diffusés à la TV ont présenté des personnes se disant un peu "affolées"...
En fait, il n'y a pas de quoi s'alarmer. La technique de piratage est efficace MAIS elle est lourde à mettre en place. Il faut en effet brancher un ordinateur sur un terminal de paiement et elle ne fonctionne que dans les magasins et pas dans les distributeurs.
"Ce genre d'attaque (man-in-the-middle) est plus limitée car elle nécessite d'interagir physiquement entre la carte et le terminal, et donc par définition ne peut toucher qu'une carte à la fois. Notre attaque basée sur la factorisation est plus dangereuse car elle permet de fabriquer des "Yes cards" qui seraient reconnues par les terminaux et les DABs, et ne nécessite pas d'intervention physique", m'a expliqué Paul Zimmermann, directeur de recherche au sein de l’équipe CACAO (Courbes, Algèbre, Calculs, Arithmétique des Ordinateurs) de l'INRIA.
Avec différents partenaires scientifiques suisses, japonais, hollandais et allemands, l'INRIA a en effet cassé la clé RSA de 768 Bits.
Là aussi, il faut relativiser : pour casser cette clé RSA, ils se sont appuyés sur l’équivalent de 1700 cœurs utilisés pendant un an de calcul, soit 425 PC quadri-cœurs.
Ce n'est donc pas à la portée de n'importe quel pirate. Par contre, des organismes travaillant pour l'armée ou les services secrets, mais aussi certaines organisations terroristes, pourraient casser cette clé plus rapidement.
Avec le super calculateur le plus puissant actuellement, Jaguar, il suffirait d'environ une semaine pour effectuer le même calcul...
Aucun commentaire:
Enregistrer un commentaire