Les cartes Visa piratables en quelques secondes

Une étude montre que les cartes de paiement Visa sont vulnérables sur certains sites à des attaques par force brute. Date de validité et code de sécurité sont découverts en quelques secondes.

En pleine période de Noël où les transactions bancaires sont au pinacle, l’étude menée par des chercheurs de l’Université de Newcastle pourrait refroidir cette fièvre acheteuse. Dans un rapport intitulé, « Does The Online Card Payment Landscape Unwittingly Facilitate Fraud? », les universitaires ont testé une technique pour casser les codes d’attaque en force brute (testant l’ensemble des combinaisons d’un code) pour découvrir les données de cartes bancaires utiles à un achat.

Concrètement, les chercheurs ont mené des tests auprès de plusieurs e-commerçants. Ils ont pris le top 400 d’Alexa et en ont retenu 382. Sur cette liste, ils ont réalisé plusieurs essais pour découvrir les différents codes d’une carte bancaire. Sur le premier point, les chiffres de la carte bancaire peuvent être découverts en quelques secondes à partir des six premiers chiffres de la carte, qui sont toujours les mêmes, puisqu’ils identifient la banque et le type de carte.

6 secondes pour obtenir une carte complète

Bien évidemment, les chercheurs indiquent qu’il est possible de trouver des jeux de numéros de cartes bancaires sur le web issus de vols de données. Second point, la date de validité est comprise dans une durée de 60 mois. Les tests sur une carte prennent 1 seconde pour découvrir la bonne. Enfin, le cryptogramme visuel présent derrière la carte ne comprend que 3 chiffres donc 1000 essais sont suffisants à un attaquant. Au final pour un jeu complet, un pirate pourrait n’avoir besoin que d’environ 6 secondes pour s’emparer de tous les éléments d’une carte bancaire.

D’où vient le problème ? Du nombre d’essais. Dans le cas présent, seuls les paiements avec des cartes Visa sont touchés en offrant un nombre illimité d’essais sur différents sites. De son côté Mastercard a détecté les différentes tentatives au bout du 10ème essai sur une même carte auprès des différents marchands. De même, l’absence de standardisation des formulaires et donc des renseignements bancaires rend plus vulnérables les sites qui demandent un minimum de données.

Les universitaires rappellent aussi que les sites et les groupements bancaires ajoutent des protections supplémentaires comme 3D Secure. Ils ont bien évidemment sollicité Visa pour résoudre le problème.

A lire aussi :

Intel veut sécuriser le paiement par carte bancaire

Tesco Bank, un cyber hold-up de 2,5 millions de livres

Photo credit: Fosforix via Visual hunt / CC BY-ND