Récemment, j’ai reçu une carte bancaire sans contact et j’ai ressorti mon lecteur sans contact pour lire un passe Navigo. Et le programe utilisé lit aussi les cartes bancaire.
Le fonctionnement est le même qu’avec le Navigo : il faut un lecteur sans contact (l’ACR122U marche nativement sous macOS) et Cardpeek. A la lecture, il suffit de choisir EMV pour lire ce que contient la carte bancaire en accès libre. De base, on a donc pleins d’informations sur la carte, dont – notamment – le numéro où les dernières transactions. Si le numéro ne suffit pas pour payer en France, il peut être utilisé dans certains pays qui ne vérifient pas le code placé derrière la carte pour les paiements.
EMV
La carte avec le sans contact activé (j’ai évidemment effacé les données)
Ce qui est intéressant avec ING Direct, c’est qu’un simple bouton dans l’interface web permet de couper le paiement sans contact. Ensuite, il faut effectuer un retrait dans DAB pour que la fonction soit réellement désactivée. Et une fois que c’est fait, la carte donne (beaucoup) moins d’informations. En gros, le lecteur voit que c’est une MasterCard et c’est tout (de ce que je comprends). Pas besoin d’un portefeuille avec un étui blindé, donc.
La désactivation
La carte avec le sans contact désactivé
Je n’ai pas testé avec une Apple Watch ou un iPhone vu qu’ING Direct ne propose pas Apple Pay.
C’est étonnant, tu n’aurais pas du pouvoir lire la carte comme ça.
La première application sélectionnée est le PSE (Payment System Environment, AID « 315041592E5359532E4444463031 » – 1PAY.SYS.DDF01). C’est l’un des systèmes qui permet à un terminal de lister les applications présentent sur l’interface contact (son fonctionnement est défini dans le Book 1 EMV).
En contacless c’est le PPSE qui se charge de ça (AID « 325041592E5359532E4444463031 » – 2PAY.SYS.DDF01).
On les identifies facilement par leur AID fonctionnement légèrement différent : en contact la liste des applications est dans un ou plusieurs records, alors qu’en contactless la liste est présente dans le FCI retournée en réponse du Select (économie de commandes car en sans contact le temps de transferts des octets est court par rapport au temps de traitement de la commande reçue).
Une bonne implémentation veut que le PSE ne soit pas accessible via l’interface contactless et le PPSE non accessible via l’interface contact.
Le fait que les applications de payement soient dual interface en général fait qu’elles sont adressable via le même AID sur chaque interface.
Le comportement conforme aux spécifications EMV Contactless devrait être le suivant dans le cas où l’interface contactless est activée:
Commande Select PPSE:
00A404000E325041592E5359532E444446303100
Réponse FCI+9000:
6F 3B
84 0E 325041592E5359532E4444463031
A5 29
BF0C 26
61 24
4F 08 A000000025010403
50 10 414D45524943414E2045585052455353
87 01 01
5F2D 02 656E
9000
Commande Select Application (ici une AMEX parce que j’ai la flemme de chercher un log Mastercard et que je viens de terminer le dev d’un lot de cartes AMEX):
00A4040008A00000002501040300
Réponse FCI+9000:
6F 50
84 08 A000000025010403
A5 44
50 10 414D45524943414E2045585052455353
9F38 03 9F3501
87 01 01
5F2D 02 656E
BF0C 21
5F50 1E 46494D45205C2A2F20585020434152442030312F322E30205C2A2F207633
9000
Ça me désole de voir des cartes qui encore aujourd’hui ont des comportements borderline comme ça… Alors ici il y a zéro impact sécuritaire, mais avec un skimmer on peut savoir que tu porte une carte Mastercard et même de quelle banque (via les réponses du PSE), c’est déjà beaucoup d’informations.
Normalement lors d’une désactivation de l’interface sans contact (en fait la désactivation de l’accès aux applications sur l’interface mais passons), on devrait voir soit un statut d’erreur dès le Select PPSE, soit le PPSE identique et un status d’erreur au Select Application, soit un PPSE avec une réponse qui ne contient pas de bloc de description d’application.
D’ailleurs tu peux tester en envoyant un Select PPSE via le champ command (00A404000E325041592E5359532E444446303100) de l’interface du logiciel (et meme tester la sélection de l’application mastercard pour voir si elle est vrai désactivée : 00A4040007A000000004101000)
Je bosse pour un labo de test, conseil, et développement de solutions de test ou de prod, donc n’hésite pas à me contacter si tu as des questions sur les cartes à puces et les terminaux (que ce soit du payement ou du transport ou de l’identité).
Erwan.