Piratage – 6 secondes pour compromettre une carte bancaire VISA !

8
404

Des chercheurs en sécurité ont démontré qu’il était possible, à partir d’un numéro de carte VISA, de deviner très rapidement sa date d’expiration, son cryptogramme visuel et même le code postal du propriétaire, via un logiciel dédié. Résultat, cela pourrait représente un risque accru de piratage lors de paiement en ligne…

Alors que l’e-commerce français a bondi de 16% en 2016 selon la Fevad, la sécurité des moyens de paiements en ligne revient sur le tapis étant donné les enjeux énormes. Or, la découverte de chercheurs en sécurité de la Newcastle University et de l’University of Kent remet fortement en cause la sécurité des données sensibles liées aux cartes bancaires.

Certains site e-commerce demandent le numéro de carte, la date de validité et le CVV alors que certains se contentent du numéro de carte et de la date de validité (actuellement 26 sites parmi les 400 plus grands sites e-commerce). D’autres réclament en plus un code postal. L’étude des chercheurs (PDF) montre qu’en connaissant un numéro de carte bancaire Visa, ces divergences de procédure permettent à un attaquant de deviner tous les autres données en l’espace de quelques secondes seulement.

De plus, les chercheurs ont aussi remarqué que les cartes VISA autorisaient de nombreuses tentatives de paiement infructueuses dès lors qu’elles sont faites depuis des sites différents, contrairement aux MasterCard qui se bloquent après quelques échecs.

https://www.youtube.com/watch?v=uwvjZGKwKvY

C’est donc une attaque par force brute qui devient possible : il faudra à l’attaquant tester les 1 000 combinaisons possibles du CVV à 3 chiffres. Comme les cartes bancaires expirent dans un délai de 60 mois maximum, il est possible de tester les 60 combinaisons sur les différents sites qui ne demandent pas le CVV sans crainte d’éveiller les soupçons. Une fois que l’on a découvert la date d’expiration, on reproduit la démarche pour le cryptogramme…

Pour le code postal, une autre technique plus simple est utilisée : il faut savoir que les six premiers chiffres de la carte permettent d’identifier la banque émettrice et son adresse. On peut donc, encore une fois grâce à l’attaque par force brute, tester les codes postaux des villes environnantes, puisque la victime habite probablement à proximité de sa banque.

Quant au dernier élément manquant, le numéro de la CB, les chercheurs rappellent que l’information est potentiellement trouvable sur le Net par divers moyens (base de données de sites e-commerce piratées, achat de données bancaire volées via des malwares sur le marché noir du DarkNet, interception via NFC, génération aléatoire des numéros via l’algorithme de Luhn, etc).

Les chercheurs ont effectué des tests à partir de sept cartes bancaires Visa. Ils ont développé un logiciel qui automatise les essais de validation sur une trentaine de sites e-commerce. Résultat : en partant d’un numéro de carte bancaire, ils réussissent à obtenir toutes les autres informations en moins de 4 secondes ! Cette méthode est donc incroyablement efficace mais ne fonctionne pas avec les cartes bancaires MasterCard. Les scientifiques ont alerté VISA afin qu’une parade soit mise en place.

La parade pour les utilisateurs serait donc de passer sur une CB MasterCard ou mieux, d’utiliser une carte bancaire prépayée pour sécuriser ses achats en ligne.

8 Commentaires

    • Ca changerais rien au problème, meme pour une carte re programmée, qu est ce qui assure aux vendeurs (physique) que c est pas ma carte si je re imprime ma photo avec le logo/image d une banque ? Et pour les achats online ?

      Croire que mettre une photo, règlera une partie du problème, meme infime, me conforte encore plus dans le faite que tant que les gens n auront pas conscience des dangers du tout numérique, tout connecté on y arrivera pas…

      L une des meilleurs solutions (atm) est donné en fin d article, mais non…la photo…

  1. Non, non ! C’est une option du vendeur.
    J’ai un sms sur certains sites, mais Paypal par exemple ne me demande rien et Google, non plus.

  2. Vous pouvez aussi activer le service d’autorisation de paiement par sms auprès de votre banque si celui-ci est disponible .

Les commentaires sont fermés.