PICSI

Une bonne approche pour saisir les risques liées aux cartes à puce est de s'intéresser aux motivations des attaquants. Ces dernières peuvent être découpées ainsi :

• le gain financier
• l'obtention de données
• l'usurpation d'identité
• la notoriété

Le gain financier peut être direct ou indirect selon l'usage consacré de la carte. S'il s'agit d'une carte bancaire, obtenir de la carte la code PIN permet de prélever des billets dans un DAB (gain direct), s'il s'agit d'une carte pour télévision à péage ou d'un téléphone mobile, l'obtention de codes secrets permet de d'accéder à des données payantes gratuitement ( gain indirect).

L'obtention de données est une attaque qui vise les cartes contenant des données personnelles. On peut citer les cartes de santé, ou les cartes permettant l'accès à des données sensibles de type militaire. Dans le premier cas, l'accès aux données d'une carte de santé relève de l'atteinte à la vie privée et dans le deuxième cas, les pertes peuvent être financières ou humaines.

L'usurpation d'identité est une attaque menée sur les cartes à puce programmées pour authentifier un individu. Typiquement, l'application de ces cartes est le contrôle d'accès, le démarrage d'une auto.

Il reste enfin la notoriété : une catégorie d'attaquant n'ont que des objectifs publicitaires; ils cherchent à se faire connaître soit dans le milieu du hacking ( ils mènent des attaques via un pseudonyme et cherche à se faire reconnaître à travers elles, parfois dans le but de faire de la contre-publicité à un système ou de diffuser des messages à caractère politique ) soit dans le milieu de la sécurité ( attaquer pour trouver des failles et améliorer le système).