Quoi que vous fassiez, ne donnez pas cette carte de paiement programmable à votre serveur.

Les fabricants de la carte à puce programmable Fuze disent qu'il est assez puissant pour contenir votre portefeuille dans une seule carte et suffisamment sécurisé pour pouvoir être utilisé de la même manière que les cartes de paiement traditionnelles, y compris en le faisant confiance aux serveurs de restaurant lors du paiement de la facture. Mais il s'avère que la commodité vient avec une prise majeure. Une faille permet à toute personne disposant d'un contrôle physique même bref de la carte de siphonner subrepticement toutes les données stockées sur le périphérique.

Les représentants de Fuze ont déclaré être conscients de la vulnérabilité et prévoient de remédier à ce problème dans une mise à jour prévue pour le 19 avril. Ils ont également remercié les deux chercheurs qui, indépendamment l'un de l'autre, ont découvert la vulnérabilité et l'ont signalée en privé. Jusqu'à présent, toutefois, les responsables de Fuze doivent encore informer pleinement les utilisateurs de l'étendue du risque afin d'empêcher le vol ou la falsification des données privées stockées sur les cartes jusqu'à ce que le défaut critique soit réparé.

Hypothèses erronées

Mike Ryan, l'un des deux chercheurs, a déclaré avoir créé un code d'attaque personnifiant l'application Android utilisant une connexion Bluetooth pour charger les données de carte de crédit sur les cartes à puce. Alors que l'application officielle Fuze veille à empêcher le couplage avec des cartes déjà configurées avec un autre appareil, l'application non autorisée de Ryan ne comportait aucune restriction de ce type. En conséquence, cela lui a permis de prendre le contrôle complet d'une carte, y compris la lecture, la modification ou l'ajout de numéros de carte de paiement, de dates d'expiration et de valeurs de vérification de carte.

Ryan a déclaré que la vulnérabilité semblait provenir d'un "contrôle sur les hypothèses de savoir qui serait capable de communiquer avec la carte". L'hypothèse semblait être que "si quelqu'un s'emparait de votre carte, il n'essaierait jamais de l'appairer via Bluetooth et de télécharger les données". Il a signalé la vulnérabilité ici la semaine dernière. Une vidéo de son exploit est ci-dessous.

Le fondateur de la société de sécurité ICE9 Consulting, Ryan a découvert la vulnérabilité à l'aide d'un appareil de radiographie à rayons X et d'outils logiciels d'investigation médico-légale afin de procéder à un reverse engineering minutieux du fonctionnement interne de la Fuze. Après avoir analysé le processus de couplage et la manière dont l'application communiquait avec la carte, il a rapidement découvert qu'il était possible pour toute personne disposant d'un contrôle physique de visualiser ou d'altérer toutes les données secrètes qu'elle était conçue pour stocker en toute sécurité.

Les responsables de Fuze méritent d'être félicités pour avoir corrigé la faille et mis en place une adresse électronique dédiée afin de recevoir des rapports de vulnérabilité de sécurité après que Ryan eut eu du mal à obtenir une réponse à ses messages initiaux. Mais le manque d'avis de sécurité adéquats montre que la société a encore d'autres améliorations à apporter. La société doit préciser que, tant que la mise à jour n'est pas installée, les utilisateurs de Fuze doivent toujours garder un contrôle strict sur leurs cartes et ne pas les remettre aux serveurs, comme suggéré sur son site Web.

La promesse du Fuze est séduisante: un seul appareil de la taille d'une carte de paiement qui stocke électroniquement des données pour des dizaines d'autres cartes. En appuyant sur un bouton, l’utilisateur peut choisir la carte à facturer et la glisser dans un terminal point de vente ou la remettre au commerçant. Le Fuze modifiera de façon transparente les données affichées sur sa bande magnétique.

Cette vulnérabilité rappelle que la sécurité du son va souvent à l’encontre du type de commodité que promet Fuze. Le site Web de la société consacre beaucoup d’espace aux fonctionnalités qu’il offre et à la facilité de leur utilisation, mais il offre relativement peu d’espace pour décrire sa sécurité.

Les lecteurs qui envisagent d'acheter des cartes de crédit programmables devraient reconsidérer leur décision. À tout le moins, ils devraient investir du temps à réfléchir aux risques potentiels, en particulier si le fabricant ne peut pas désigner un auditeur de sécurité indépendant qui a testé le produit.