web-dev-qa-db-fra.com

Visa PayWave est-il sécurisé?

Récemment (enfin, il y a quelques mois ou même un an), ma banque, ici en Australie, a introduit cette technologie PayWave sur ses cartes de débit Visa. Ils prétendent que c'est sécurisé, mais tout ce dont ils parlent, c'est de leurs politiques, ce qui vous oblige à remarquer qu'il y a un problème (Du site Web ):

Les cartes Visa payWave sont couvertes par la politique de responsabilité zéro de Visa1 et sont aussi sécurisées que toute autre carte à puce Visa. Ils comportent les mêmes couches de sécurité multiples, ce qui garantit que vous n'êtes pas responsable des transactions frauduleuses ou non autorisées.

Il ne comporte évidemment pas les mêmes couches de sécurité, car vous n'avez pas besoin d'utiliser votre PIN ou votre signature. Eh bien, pour les achats de moins de 100 $, mais même c'est beaucoup d'argent à certaines personnes (n'importe quel montant est beaucoup pour moi), donc c'est un peu bizarre de dire que tout ce qui est en dessous est un achat "de faible valeur" pour n'importe qui. Si un sans-abri a trouvé/volé ma carte, je ne le vois pas acheter quoi que ce soit au-dessus.

Quelqu'un à qui je parlais a même suggéré qu'une personne pouvait marcher dans la rue avec l'une de ces machines PayWave dans son sac et la heurter contre les sacs des autres dans l'espoir de trouver une carte compatible.

Il semble qu'ils sacrifient la sécurité pour plus de commodité et sous-estiment l'ingéniosité des voleurs. Je n'arrive pas à trouver d'informations qui ne soient ni publicitaires ni biaisées, et je n'ai aucune expertise dans ce domaine pour faire la différence entre une préoccupation légitime et la paranoïa. Visa PayWave est-il aussi sécurisé qu'il le prétend?

credit-cardrfid
19
AlbeyAmakiir

Le secret de la sécurité des transactions par carte de crédit est que, selon la loi (dans de nombreuses juridictions), l'émetteur de la carte est responsable des transactions frauduleuses après une certaine limite, pas le titulaire de la carte. Puisqu'ils assument déjà l'essentiel de la responsabilité, la plupart (tous?) Font simplement le saut pour dire que le titulaire de la carte n'est en aucun cas responsable de la fraude.

Cela signifie que la sécurité de la carte est simplement un compromis coût-avantage pour l'émetteur. Cela vaut le coût pour l'émetteur d'annuler un certain montant de fraude si, en échange, il obtient un rendement raisonnable pour la police. D'où la limite de 100 $; Visa est convaincue qu'à l'intérieur de cette plage, ils peuvent détecter la fraude de manière suffisamment fiable pour que cela vaille la peine de supprimer certaines mesures de sécurité.

Par conséquent, qu'il soit sécurisé ou non est leur problème, pas le vôtre. De toute évidence, vous devez réellement signaler les transactions suspectes. Cela en fait une mauvaise idée de garder un compte ouvert que vous ne surveillez pas. Mais cela a toujours été le cas.

C'est vraiment ainsi que cela devrait être. Si la partie responsable de la sécurité est celle qui est la mieux placée pour la mettre en œuvre, le niveau de sécurité que vous obtenez a tendance à être approprié à la valeur de la chose qui est sécurisée .

11
tylerl

Visa et les autres fabricants de cartes de crédit utilisent la norme EMV pour authentifier les transactions par carte de crédit/débit. L'article Wiki l'explique mieux que moi, mais c'est un sujet très technique - il faudra du temps pour le lire et le comprendre.

Vous devriez également voir les réponses à similairesquestions sur NFC/RFID/EMV.

Essentiellement, les attaques de clonage démontrées vous permettent d'obtenir une transaction unique dans la limite sans code PIN (80 $ à 100 $ dans la plupart des cas). Il y a probablement des difficultés importantes liées à la surveillance (guerre-NFC-ing?) Au sein de la population générale - le moins de tout est payé sans être pris. AFAIK personne n'a démontré la capacité de cloner un terminal de paiement.

Et enfin - nous échangeons toujours la sécurité pour plus de commodité. Avez-vous deux serrures sur votre porte d'entrée? Trois? Huit? Vous promenez-vous avec un rembourrage de protection? Portez-vous un gilet pare-balles à l'école?

Le compromis ici est une réduction du temps de transaction de ~ 15 secondes à ~ 2 secondes. Ajoutez-le à des millions de personnes et à des milliards de transactions et vous envisagez de gagner beaucoup de temps. Cela vaut-il le risque supplémentaire? Les émetteurs de cartes semblent le penser - et ont promis publiquement de rembourser les clients pour les pertes causées par des problèmes de sécurité.

10
scuzzy-delta

Ceci est un document marketing, avec quelques mots de belette:

Ils portent les mêmes couches de sécurité multiples

Ce qu'ils veulent dire, c'est que:

  • Les cartes sans contact ont le même niveau de résistance à l'altération autour de la puce que les cartes à contact direct.
  • Les protocoles de communication au niveau des données ( EMV ) sont les mêmes pour les deux interfaces physiques.

Ce qu'ils oublient, c'est:

  • Si vous pouvez effectuer une transaction sans taper de code PIN, tout le monde peut se promener avec un terminal portable (par exemple, un smartphone avec NFC et les logiciels et clés appropriés, ou un terminal émis par une banque) et lancer une transaction.

C'est la combinaison d'autoriser les transactions avec un seul facteur d'authentification (être à proximité de l'appareil physique), et ce facteur d'authentification étant faible (ce n'est même pas ce que vous avez, mais ce qui est à proximité), qui introduit une faiblesse importante.

En effet, avec PayWave, ou tout autre système qui réduit de manière similaire l'authentification par force pour des raisons de commodité, la charge vous incombe de contester tous les frais. Selon la jurisprudence de votre région, il peut être facile ou difficile de contester les frais (les États-Unis sont plutôt favorables au consommateur à cet égard, les banques ont beaucoup plus d'influence dans les pays européens).

Avant de rendre votre carte en colère, considérez que rien qu'en ayant une carte de crédit, vous prenez déjà un plus grand risque. Votre carte de crédit peut être utilisée en ligne par une personne qui n'en a jamais été physiquement proche: il suffit de connaître le numéro à 16 chiffres et (pour la plupart des commerçants mais pas tous) la date d'expiration et les 3- ou 4. nombre de chiffres qui se trouvent dans les bases de données de chaque marchand auprès duquel vous avez effectué des achats (ils ne sont pas censés les stocker, mais beaucoup le font). Faire des achats avec une carte de crédit ne nécessite pas déjà de fournir des données vraiment confidentielles telles qu'un code PIN; les paiements sans contact ne sont pas nouveaux à cet égard.

3
Gilles 'SO- stop being evil'

PayWave est une technologie de communication en champ proche et elle est à peu près aussi sûre que la morale d'un petit frère. Pour la grande majorité des transactions, tout ira bien, mais c'est toujours un risque énorme. Je l'éviterais à tout prix.

Pour plus d'informations, essayez de googler "NFC Hacks" ou "RFID Hacks", il y a eu de bonnes présentations à BlackHat USA cette année sur NFC et les problèmes RFID ont été complètement effacés.

Opinion personnelle: restez avec de l'argent et des pièces.

1
grauwulf