Publié initialement à : https://korben.info/magspoof.html
Le hacker Samy Kamkar dont je relate souvent les découvertes ici, vient encore une fois de signer un coup de maitre. Après avoir reçu sa nouvelle carte bancaire (une American Express), il s’est rendu compte que le numéro de la carte suivait un certain schéma. Après avoir demandé à ses amis sur Facebook les 4…
des algos qui disent si une CB est valide ça existe depuis pas mal de temps. C’est comme ça qu’on fait des yes card par exemple. C’est plutôt la partie RFID qui est intéressante
Sauf que ca marche plus.
C’était le cas avec le SDA (signature statique), une yes-cards n’est plus réalisable en CDA (ou tout autre moyen de signature), car la prévision de signature est impossible (échange d’aléa entre terminal de paiement de carte, le terminal étant maitre)
L’algo pour savoir si un PAN est cohérent, c’est la clé de Luhn (sorte de CRC)
Et pour les ‘vieilles’ cartes a uniquement bande magnétique, comment dire, ca n’existe plus ? (sauf aux US, ou ca migre petit à petit)
En France, vous avez forcément une puce, et tout terminal en France ne lira pas la bande magnétique d’un carte française.
Sinon, effectivement, le risque est nul, car le PIN est impossible à détecter. Et simuler une bande magnétique, SamSung le fait déjà avec le SamsungPay. (mais en rendant la piste magnétique ‘dynamique’) Rien de novateur.
Après, oui, c’est ‘drole’ de prédire le PAN et la date d’expiration, mais ca ne sert à rien. (d’autant plus qu’il n’y à pas le CVV, les 3 chiffres à l’arriere de la carte)
Rien capté et l’encart vidéo est blanc …
Après avoir reçu sa nouvelle carte bancaire (une American Express), il s’est rendu compte que le numéro de la carte suivait un certain schéma.
Mais à ce niveau là cela relève plus du message divin … que du hack !
putain ce mec c’est un génie! je le suis depuis un moment et il est vraiment superbe !
les péages, les barrières de parking, … ne demandent pas de code …et donc ne lisent surement pas la puce…
Et pourtant, si 
(du moins en France)
édit : et pour l’aspect sécuritaire dans ces cas, il y a une demande d’authorisation sur le serveur de ta banque
Donc il sait générer un numéro de carte bancaire et sa date d’expiration ? Donc il peut commander ce qu’il veut sur internet à la manière d’une Yes-Card ! 
ALTAYA par exemple demande uniquement le numéro et la date d’expiration pour payer, ni le code de sécurité, ni un nom ou je ne sais quoi…
Desactives Adblock ! 