web-dev-qa-db-fra.com

Pourquoi les puces sont-elles plus sûres que les bandes magnétiques?

Après le récent piratage de Target, il y a eu discussion sur le passage des cartes de crédit à bande magnétique aux cartes à puce.

De quelles manières les puces sont-elles plus sûres que les rayures?

182
Thomas

Vous ne pouvez pas cloner la puce.

Une bande magnétique contient un numéro secret et si quelqu'un connaît ce numéro, il peut prétendre être le propriétaire de la carte. Mais si un méchant glisse la carte, il connaît alors le numéro et peut créer sa propre carte, c'est-à-dire le "clonage". Cela s'est avéré être un problème pratique majeur avec les cartes à bande magnétique.

Une puce contient également un numéro secret. Cependant, il est solidement intégré dans la puce. Lorsque vous utilisez la carte, la puce effectue une opération de clé publique qui prouve qu'elle connaît ce numéro secret. Cependant, il ne révèle jamais ce numéro secret. Si vous mettez une carte à puce dans une machine de méchants, ils peuvent vous imiter pour cette transaction, mais ils ne peuvent pas vous imiter à l'avenir.

Tout ce qui précède suppose que la mise en œuvre de la puce est bonne. Certaines puces sont connues pour avoir des failles d'implémentation qui fuient le code secret. Cependant, les puces et les broches sont maintenant assez matures, donc je m'attends à ce que la plupart de ces problèmes soient résolus.

228
paj28

La puce effectue une opération cryptographique sur les données qui lui sont transmises qui nécessite la connaissance de la clé qui est fortement protégée dans la puce - donc un attaquant ne peut pas facilement copier la carte.

Cela dit, il y a eu des articles de recherche réussis sur le timing ou les attaques de puissance, mais ceux-ci proviennent de conditions de laboratoire, et probablement pas une vraie inquiétude dans la nature.

Au Royaume-Uni, presque toutes les cartes bancaires sont à puce et à broche - ce qui conduit à l'un de nos types de fraude les plus courants: la piste magnétique est écrémée et les détails sont utilisés dans un pays sans infrastructure à puce et à broche.

70
Rory Alsop

La bande magnétique contient les informations exactes utilisées pour identifier la carte. La puce contient une information qu'elle ne partage pas, mais qu'elle peut utiliser pour prouver qu'elle possède cette information.

Ainsi, une bande magnétique est stupide et peut être copiée, mais comme la puce ne révèle pas son secret, un fournisseur ne peut pas simplement la copier lorsque vous l'utilisez.

Une bande magnétique indique "Je suis la carte de crédit ABC". lorsque le point de vente demande le numéro. Avec une puce, le point de vente dit "quelle est votre réponse à cette valeur aléatoire?" et la puce donne une réponse que le point de vente peut valider, mais comme le prochain point de vente utilisera une valeur aléatoire différente, la réponse est inutile pour un voleur.

34
AJ Henderson

Les autres réponses déjà données sont correctes, mais je voudrais donner la réponse suivante sans aucune formation technique requise de la part de la personne qui pose la question:

Lorsque vous utilisez une carte de crédit à bande magnétique, l'appareil dit à la carte: "Mon utilisateur saisira un PIN pour vérifier, laissez-moi lire votre bande afin que je puisse la vérifier".

( MODIFIER :

OK, le paragraphe ci-dessus n'est pas ce qui se passe réellement. Mais le dispositif POS (ou autre) lit (ou est capable de lire) toutes les informations contenues dans la bande. Cela signifie que vous pouvez fabriquer une carte qui est à toutes fins utiles une copie. )

Lorsque vous utilisez une carte de crédit à puce, l'appareil dit à puce sur la carte: "Mon utilisateur a fourni 4567 comme code PIN, est-ce correct?"

Maintenant, parce que la puce est plus intelligente qu'une bande magnétique (qui n'est en fait qu'un magasin de données), elle peut répondre à cette question. De cette façon, le PIN peut rester caché.

16
Boluc Papuccuoglu

Vous voudrez peut-être clarifier votre question - voici une réponse pour expliquer pourquoi il est plus sûr d'émetteur de carte :

Si une carte à piste magnétique est volée, il est assez facile pour le voleur de l'utiliser frauduleusement - à quelle fréquence les signatures sont-elles vraiment vérifiées (en fait aux États-Unis, j'ai la carte m'a souvent été remise avant que je ne signe, même si aucune pièce d'identité supplémentaire n'est demandée).

Si une carte à puce et à épingle est volée puis utilisée frauduleusement, la carte à elle seule n'est pas suffisante pour une utilisation - une bonne chose bien sûr - mais cela incombe au propriétaire de protéger l'épingle (vérifiez les conditions générales). Supposons que la carte a été volée juste après que le propriétaire ait utilisé un distributeur de billets où le voleur a surfé sur le code PIN, alors le voleur est au moins aussi susceptible de s'en tirer en utilisant la carte - et peut maintenant retirer de l'argent plutôt que d'acheter simplement des marchandises comme un faux signature permettrait.

Ensuite, il y a bien sûr la simple question d'intimider (ou pire) la victime d'un vol en lui remettant le NIP.

Voici un article de la BBC - nous sommes sur chip & pin au Royaume-Uni - une citation de la fin

[La banque de la victime], Barclays, a rendu les 640 £ qu'elle avait perdus, mais certaines banques peuvent être réticentes à rembourser si les gens ont fait preuve de négligence avec leur code PIN.

édition: "banque" généralisée à "émetteur de carte"

7
Chris H