Moins de six secondes pour pirater une carte bancaire visa, c’est en effet ce que révèlent les chercheurs de l’université de Newcastle. Une étude qui fait froid dans le dos, alors qu’en France l’observatoire national de la délinquance et des réponses pénales, révèle une forte hausse des retraits frauduleux sur compte bancaire.
L’an dernier, le taux de fraude sur les cartes françaises tournait autour de 0,070 %. Ce sont 416,1 millions qui étaient concernés par les fraudes sur les 592,2 milliards d’€ de transaction. Un problème qui ne se pose pas avec un compte sans banque et une carte bancaire prépayée, qui proposent des numéros de cartes bancaires virtuelles pour régler ses achats sur Internet.
Les escroqueries aux cartes bancaires ne sont pas nouvelles, loin s’en faut. Mais aujourd’hui grâce à Internet les techniques des pirates non seulement s’améliorent sans cesse, mais sont aussi accessibles à de plus en plus de personnes mal intentionnées. Grâce à des logiciels, les cyber criminels sont désormais capables d’attaquer une carte bancaire émise par le réseau Visa en quelques secondes. Pour cela j’utilise une technique nommée Distributed Guessing Attack ou Attaque par force brute.
Quelques secondes suffisent pour pirater une carte bancaire visa
Les chercheurs de l’université de Newcastle dans leur expérience ont tout simplement contourné le système de sécurité de paiement ligne en générant des variations de numéros de cartes, date d’expiration et du cryptogramme visuel situé sur le dos de la carte bancaire. S’il faut moins de six secondes pour pirater une carte bancaire visa, c’est parce que les premiers chiffres des numéros d’une carte bancaire correspond à la banque et au type de carte.
Ils sont donc relativement faciles à obtenir, pour ce qui est de la date d’expiration et du cryptogramme visuel il suffit simplement de le deviner. Si pour un humain cela peut sembler une tâche à accomplir, et encore, car la date d’expiration d’une carte bancaire ne peut excéder cinq ans, tandis que le cryptogramme visuel qui ne comporte que trois chiffres, nécessite moins d’un millier d’essais. Pour ce faire, les pirates peuvent utiliser un bot qui se connectera à des dizaines de sites de e-commerce différents pour essayer différentes combinaisons.
Pour compliquer les choses, des dizaines de milliers de numéros de cartes bancaires sont aujourd’hui disponibles sur le Dark Web, vendu moins d’un dollar par numéro de carte bancaire. Dès lors, il ne suffit aux pirates informatiques qu’à deviner la combinaison du cryptogramme visuel pour pirater une carte bancaire Visa. Ce procédé serait en cause dans l’attaque du géant de la distribution Tesco. Près de 20.000 clients ont été victimes de ce type de piratage au sein de la filiale banque de la société britannique.
MasterCard paré contre ce type d’attaque par force brute
Pour réussir cet exploit les cybers pirates s’appuient sur une faille des systèmes de paiement utilisés sur les sites de commerce en ligne. En effet la plupart de ceux-ci autorisent entre quatre à 50 essais manqués avant de bloquer la transaction, tandis que d’autres ne mettent absolument aucune limite. Dès lors il est relativement facile pour un logiciel de tester simultanément des centaines de combinaisons sur une multitude de sites différents. Pas étonnant dès lors qu’il faille moins de six secondes pour pirater une carte bancaire Visa.
Le réseau Visa ne dispose malheureusement d’aucun dispositif de détection du « mass guessing », contrairement à MasterCard. En effet, le système de sécurité Visa peut être compromis car celui-ci est dans l’impossibilité de repérer les échecs répétés sur une même carte lorsque l’attaque est menée sur différents sites. Contrairement au réseau MasterCard qui est capable de détecter l’attaque en moins de 10 essais.
Conclusion : la carte bancaire prépayée est une solution à envisager
Le groupement Visa face à cette faille béante de sécurité assure que cette technique ne prend pas en compte les multiples niveaux de protection existant au sein de son système de paiement. Et rassure ses clients sur son engagement afin de limiter la fraude, et travaille activement avec les émetteurs de cartes bancaires afin de rendre plus difficile l’obtention illégale des données. Visa rappelle toutefois que si le numéro de carte est utilisé de manière frauduleuse, son détenteur est exempté de toute responsabilité. Dès lors, le passage à la carte bancaire prépayée est un excellent moyen de se prémunir de ce type d’attaque en forte hausse d’année en année.
Tres bon site merci