Quelques secondes suffisent pour pirater une carte bleue
De nos jours il est facile de payer avec sa carte bleue ses achats par Internet. Attention, il serait encore plus facile d’en dérober les données.
Payer ses achats sur Internet avec sa carte bleue est devenu un geste banal. En France, cette année les sites de commerce en ligne dépasseraient le nombre de 200.000. Cependant, quid de la sécurité de ces achats ? Des chercheurs de l’Université de Newcastle ont mis au point un système permettant de récupérer le numéro de carte, la date de validité ainsi que le cryptogramme visuel (CCV) en moins de 10 secondes.
Les cartes bleues trop faciles à pirater ?
Lorsque que l’on veut régler un achat sur un site de e-commerce avec sa carte bleue, il faut généralement renseigner le numéro de la carte, la date de validité et le cryptogramme, les trois chiffres situés sur le dos de la carte. Cependant, ces informations pourraient être aisément récupérées par une personne malintentionnée équipée d’un ordinateur connecté à Internet. Des chercheurs britanniques en ont fait la démonstration et il ne leur a fallu que quelques secondes pour dérober ces informations.
Les experts en sécurité ont utilisé la méthode dite de « Distributed Guessing Attack ». Ils ont d’abord besoin d’un numéro de carte, qui peut être « acheté » sur Internet. Des numéros récupérés suite à un piratage. Les pirates utilisent ensuite un bot qui va interroger des sites de e-commerce afin de tester différentes combinaisons. Il suffit d’une soixantaine d’essais pour trouver la date de validité. Quant au code CCV, au bout de 1000 tentatives maximum, il est trouvé. L’opération ne dure que quelques secondes et voilà nos pirates en possession de toutes les informations nécessaires pour effectuer des achats frauduleux.
La société Visa se veut toutefois rassurante
Visa n’a pas tardé à s’exprimer sur le sujet. La société en charge de sécuriser les procédés bancaires a ainsi déclaré que les chercheurs n’avaient « pas pris en compte les multiples niveaux de protection existant contre la fraude ». Elle affirme en outre « travailler en étroite relation avec les émetteurs de carte et les distributeurs pour rendre très difficile l’obtention et l’utilisation illégale des données des cartes bancaires ». Elle veut enfin rassurer les consommateurs en leur rappelant que « si leur numéro de carte est utilisé de manière frauduleuse, ils sont exemptés de toute responsabilité ».