Achat en ligne : un risque de piratage pour les porteurs de cartes VISA ?

Voilà une information qui ne devrait pas rassurer les réticents des achats en ligne qui ont peur de se faire pirater leur carte bleue. Des chercheurs ont démontré qu’il était possible de pirater des cartes bancaires, via des attaques en cascade, notamment sur les cartes VISA.

Carte bancaire MasterCard argent pixabay banque

Des chercheurs de l’université de Newcastle ont publié un rapport complet sur leurs travaux, que l’on peut retrouver ici en PDF (en anglais). Ces derniers ont passé aux cribles les protocoles d’achat en ligne des principaux sites de e-commerce (400 sites les plus populaires dans le monde). Premier constat des chercheurs, une très forte disparité des mesures de sécurité entre tous les acteurs, au moment du protocole de vérification des cartes bancaires.

Paiement en ligne : la sécurité du réseau Visa serait-elle plus vulnérable ?

Cette disparité est un atout pour les hackers, car cela offre la possibilité de réaliser des attaques distribuées, permettant des fraudes à très grandes échelles. Deux vulnérabilités mises bout à bout, ouvrent donc la porte au piratage à des échelles industrielles pour des pirates, notamment chez VISA.

Le principe des attaques en cascade est assez simple, en profitant des différences dans les requêtes nécessaires selon différents sites web, il est possible de tester sur des centaines de sites à la fois toutes les possibilités par force brute, sans éveiller les soupçons des systèmes de sécurité anti-fraude de chaque site.

A partir de fichiers pirates présents sur internet disposant du nom et prénom d’utilisateur, relationnés au numéro à 16 chiffres d’une carte bleue, ou volés par skimming via la technologie NFC, les pirates n’ont alors qu’à tester sur 60 sites différents et validant une étape d’achat avec ce critère, les 60 possibilités de dates (12 mois x 5 ans maximum de durée de validité d’une carte).

Le pirate dispose de cette façon du nom, prénom, numéro à 16 chiffres et date de validité de la carte. Il ne leur reste plus qu’à utiliser la même méthode pour tester les 999 possibilités du code à trois chiffres sur des centaines de sites de e-commerce différents jusqu’à obtenir le sésame.

Plusieurs tentatives, mais sur plusieurs sites distincts

La plupart des sites détectent plusieurs tentatives infructueuses et alertent les organismes bancaires, en revanche VISA semble dépourvu de la possibilité de savoir si plusieurs sites ont reçu une seule tentative simultanément. Certains diront : « je n’utilise que des sites qui demandent également l’adresse postale dans le formulaire ». Cette adresse peut se trouver liée aux informations de la base de départ des pirates et si ce n’est pas le cas comme l’expliquent nos confrères de chez ITespresso, il existe des outils comme BidDb et ExactBins qui permettent à partir du numéro à 16 chiffres de savoir la banque émettrice de la carte.

Par conséquent, les clients de cette banque vivant généralement à proximité, une poignée de codes postaux sont donc possibles. Les formulaires des sites en ligne réclamant les adresses postales ne valident généralement que le code postal, pour éviter des échecs de transactions pour une faute de frappe dans l’adresse ou pour des abréviations (imp. pour impasse, av. pour avenue). Les pirates une nouvelle fois n’ont qu’à tester la poignée de codes postaux autour de la banque et le tour est joué.

D’après les chercheurs, un bots conçu pour l’expérience a réussi à récupérer toutes les informations nécessaires pour permettre un transfert d’argent vers l’Inde, retiré immédiatement sur place, sans que le système bancaire ne puisse réagir, en moins de 30 minutes et il ne leur a fallu que 6 secondes pour pirater une carte bancaire. Plutôt glaciale comme nouvelle, tous les acteurs sont désormais sur le pied de guerre pour modifier certains paramètres. En réalité, il s’agit d’un vrai casse-tête, car plus il y a d’étapes de validation et de protocole de sécurité, plus le taux de panier moyen chute, ce qui signifie moins de ventes pour les sites de commerce électronique et moins de commissions pour les banques.

Vidéo : 6 seconde pour pirater une carte bancaire

Source


Nos dernières vidéos

Un commentaire

  1. Bonjour, est-ce que le nombre de combinaisons possibles ne s’élèverait pas plutôt à : 60 (nombre de dates) puissance 999 (nombre de codes à 3 chiffres) ? Car il faut que le couple de ces valeurs soit correct en même temps non ? Je ne pense pas qu’on puisse valider d’abord la date, puis le code à 3 chiffres, ou alors ça serait vraiment dommage de la part des organismes de validation bancaire.
    Donc si c’est bien ça, ça nous donne une infinité de possibilité et on peut dormir sur nos 2 oreilles 🙂

Répondre