Quel cryptage est utilisé sur un guichet automatique ?

Un guichet automatique fournit un service simple mais sécurisé, grâce auquel les titulaires de carte autorisés peuvent retirer de l'argent et effectuer d'autres transactions bancaires sans se rendre dans une agence bancaire. Chaque transaction ATM est autorisée par une banque via un réseau de communication sécurisé, qui repose sur le codage des données afin qu'elles ne puissent être lues que par l'expéditeur et le destinataire prévu, autrement appelé cryptage.

Vulnérabilités de sécurité

Une vulnérabilité courante de la sécurité des distributeurs automatiques de billets implique des retraits dits fantômes, dans lesquels de l'argent est prélevé sur le compte d'un titulaire de carte, mais ni le client ni la banque n'admettent leur responsabilité. Les retraits fantômes sont parfois le résultat d'une fraude de la part du client, mais les guichets automatiques peuvent également être amenés à accepter de fausses cartes, écrémées ou clonées. Les guichets automatiques génèrent un message codé, appelé cryptogramme de demande d'autorisation, que les émetteurs de cartes utilisent pour authentifier la carte et les données de la carte.

DES

Les guichets automatiques utilisaient à l'origine une formule mathématique, ou un algorithme, connu sous le nom de norme de cryptage des données, pour crypter les numéros d'identification personnels. DES crypte les données en blocs de 64 bits à l'aide d'une clé de cryptage de 56 bits et était, à une époque, une norme fédérale officielle de traitement de l'information aux États-Unis. Cependant, l'augmentation de la puissance de calcul des ordinateurs personnels a rendu le DES non sécurisé pour les applications ATM ; Les guichets automatiques utilisant DES ont été piratés dans les 24 heures.

Triple DES

Triple DES utilise deux clés de chiffrement et applique l'algorithme de chiffrement DES trois fois, augmentant ainsi la longueur de la clé de chiffrement à 168 bits. Triple DES est nettement plus sécurisé que DES, car il n'est pas réaliste de rechercher les bits individuels de la clé de cryptage pour déchiffrer le code. Selon la National Credit Union Administration, toutes les nouvelles installations de guichets automatiques depuis 2002 devaient utiliser le triple cryptage DES.

AES

En 2001, le National Institute of Standards and Technology a annoncé l'adoption d'une nouvelle norme de cryptage, connue sous le nom de Advanced Encryption Standard, destinée à remplacer DES. AES utilise une clé de cryptage de longueur variable, d'une longueur de 128, 192 ou 256 bits, et crypte les données en blocs de 128 bits. Le seul moyen pour une personne non autorisée de déchiffrer les données chiffrées avec AES est une attaque par force brute, qui consiste à tester toutes les permutations possibles de la clé de chiffrement, de sorte qu'AES est nettement plus sécurisé que DES ou triple DES. AES a été approuvé par le gouvernement américain comme norme commerciale pour le cryptage des informations numériques sensibles, y compris les données financières utilisées par les guichets automatiques, en 2003.