👩🏽‍🏫 🤾🏾 👏 Transactions hors ligne dans les transports publics - sécurité et lutte contre la fraude 👧🏿 🏧 ❕

Et pas un jour ne s'est écoulé, alors que j'écris un nouvel article, qui est également lié à la technologie NFC. À savoir - les transactions hors ligne dans les transports publics, pourquoi et quels sont les avantages et les inconvénients pour les passagers et les transporteurs qu'il transporte. Il y a environ cinq ans, plusieurs scandales liés au piratage de cartes de la Troïka à Moscou ont fait du bruit. Ensuite, les pirates avaient besoin d'obtenir les clés pour accéder au contenu des cartes Mifare 1K et autres, ainsi qu'à un logiciel assez spécifique pour travailler avec elles. Dans le même temps, la probabilité d'être détecté était assez élevée - les cartes avec des incohérences dans le contenu et le serveur de la Troïka ont été rapidement envoyées sur la liste d'arrêt, et en essayant de passer par une telle carte, le tourniquet a émis un cri perçant, attirant l'attention. Qu'est-ce qui a changé lorsque les terminaux ont commencé à prendre en charge les cartes bancaires?

C'est exactement l'image lors du paiement du prix peut être observée dans certaines grandes villes. Les nouveaux terminaux peuvent fonctionner à la fois avec les anciennes cartes Mifare et avec les cartes EMV sans contact. Faut-il dire que malgré les scandales qui ont éclaté, les vulnérabilités du vieux Mifare n'ont pas disparu? Mais dans cet article, nous parlerons des vulnérabilités apportées par le support EMV.

Avertissement pour les parias, escrocs et pirates de toutes les bandes:

Décrit ci-dessous est purement informatif et de nature informative. Je comprends que pour certaines raisons subjectives cet avertissement n'empêchera pas certains lecteurs, mais rappelez-vous - il y a des articles du Code pénal de la Fédération de Russie n ° 159 et n ° 272!

Un peu de théorie

EMV (Europay Mastercard Visa) est une norme qui décrit le comportement d'une puce de carte de paiement dans différents scénarios afin d'assurer la plus haute sécurité de paiement possible. Vous pouvez en savoir plus à ce sujet ici dans un article respectéAlexgre. Nous nous intéressons uniquement au fait que, dans certains cas, le protocole autorise les transactions hors ligne, c'est-à-dire l'opération que la carte et le terminal effectuent exclusivement entre eux, et les informations de transaction sont transmises à la banque acquéreuse ultérieurement. L'avantage de cette approche est sans aucun doute que cette solution est idéale dans des conditions où il n'y a pas de connexion, ou la connexion est instable - comme le même bus, par exemple. Le moins découle du nom - le terminal ne peut pas vérifier la disponibilité des fonds sur la carte, ainsi que l'état de la carte elle-même. La banque ne pourra confirmer ou refuser les radiations que pour une transaction spécifique lors de la synchronisation. Que se passe-t-il si vous montrez au conducteur une carte vierge ou bloquée? Mais rien ne se passera.À l'aide des commandes APDU de base, le terminal demandera à la carte sa date d'expiration et la comparera avec l'heure du système - si elle n'a pas expiré, il demandera à la carte son PAN - il s'agit du même numéro de carte estampillé dessus. Après avoir sauvegardé ces données, à la discrétion de TRM (Terminal Risk Management, Terminal Risk Management), le terminal transférera un numéro aléatoire sur la carte, il le hachera et le signera avec sa clé, le terminal enregistrera le numéro d'origine et la réponse de la carte, afin qu'il puisse ensuite être transféré à la banque. Après avoir effectué ces opérations, le terminal envoie une commande pour mettre fin à la connexion à la carte et met fin à la connexion en imprimant un chèque. Plus tard, le terminal ne pourra pas annuler l'argent de cette carte - la carte PAN est envoyée sur la liste d'arrêt - tant qu'il n'aura pas remboursé la dette, il n'acceptera pas cette carte dans aucun bus. Un système idéal, non? Il semblerait qu'il existe des vulnérabilités,pas de cadeaux tous paient pour tout à la fin. Tout serait resté le même, sinon pour un grand "Mais" ... Ou quelques-uns.

Apple/Samsung/Google Pay —

Et le 9 septembre 2014, Apple a introduit une nouvelle méthode de paiement sans contact sur l'infrastructure existante. Apple Pay s'est concentré sur la simplicité, la rapidité et la confidentialité. La simplicité a été fournie (et fournit) par l'interface intuitive de Wallet, et la confidentialité est assurée par la tokenisation. Lors de l'ajout d'une carte à Wallet, un système de paiement (tel que Mastercard ou Visa) génère un jeton. Le jeton est un PAN - mais pas celui qui est éliminé sur la carte ajoutée, mais son équivalent dans le système de paiement. Désormais, les demandes de terminaux POS pour ce PAN virtuel seront considérées par le système de paiement comme s'il s'agissait d'un numéro de carte physique. Avec cette approche, même un terminal potentiellement compromis ne voit pas le vrai numéro de carte - le jeton ne peut être utilisé que pour les paiements sur les terminaux POS, dans d'autres cas, il est inutile.Plus tard, Samsung Pay et Google Pay (anciennement Android Pay) ont commencé à travailler sur le même principe.

Jetons dans les transactions hors ligne

Oui. Un appareil sans contact équivaut ici à une carte physique. Et en cas d'erreur de paiement, le terminal du bus mettra pédantiquement le PAN dans la liste d'arrêt. La justice a triomphé! Seulement ... PAN est éphémère! Chaque fois que vous ajoutez une carte à un appareil mobile, le jeton sera différent. En conséquence - nous ajoutons la carte à l'appareil - et nous sommes sortis de la liste d'arrêt sans payer un sou. Répétez si nécessaire. Ainsi, pour reproduire cette attaque, tout appareil capable d'effectuer un paiement sans contact convient. Cela représente 90% de tous les téléphones avec NFC.

Comment se battre?

Hors ligne - aucun moyen. Absolument. Il n'y a aucun moyen de déterminer si un jeton appartient à un compte. Par conséquent, nous avons besoin de terminaux qui ne peuvent se déconnecter que lorsque cela est nécessaire et rester en ligne aussi longtemps que possible. Je comprends que la somme des risques est faible, mais la vulnérabilité est si facile à utiliser que tout le monde peut en profiter. Vous pouvez régler la situation - il existe des validateurs spécialisés pour les transports publics.

Type de tel.

, . .

Quelles sont les conclusions?

Les innovations hâtives ne seront pas toujours sûres et fiables. Comme pour le système de transport, les anciennes vulnérabilités n'ont pas encore été corrigées, mais elles en ont déjà rapporté de nouvelles, facilement exploitables. Et les béquilles sont mauvaises. J'espère que mes petites recherches aideront certaines entreprises de transport à repenser leurs priorités.