Carte VISA : 4 secondes suffisent pour la pirater

Le par  |  39 commentaire(s)
Visa International logo

Des experts en sécurité viennent de tirer la sonnette d'alarme : ils ont mis au point un algorithme capable de deviner le cryptogramme visuel et la date de validité d'une carte Visa à partir de son numéro.

Jusqu'à présent, la plupart des transactions réalisées en ligne à l'aide d'une carte de paiement misent sur une combinaison d'éléments : nom du détenteur de la carte, numéro, date de validité et Cryptogramme visuel (CVV). Si certaines banques imposent une authentification à double facteur avec l'envoi d'un code de validation par SMS, ce n'est pas systématiquement le cas pour tous les émetteurs de cartes VISA.

Et la situation pose désormais problème... Des chercheurs de l'Université du Kent et de l'Univesité Newcastle mettent en avant le fait qu'il devient possible de deviner l'intégralité des données d'identification à partir d'un simple numéro de carte.

piratage VISAEt pour ce faire, il n'y aura pas forcément besoin d'être un hacker en puissance, mais simplement d'être méthodique et patient... Ainsi, certains sites ne demandent pas systématiquement toutes les données pour valider un achat et se limitent à la combinaison numéro de carte + code postal, ou numéro de carte + date de validité. Sachant qu'une carte Visa n'est valide que pendant 60 mois au maximum, les combinaisons sont largement restreintes.

Une fois les données en poche, il suffit de s'attaquer à la recherche du CCV... Là encore, les combinaisons sont limitées. Et bien que la plupart des sites de vente en ligne autorisent 6 tentatives maximum, ils sont tellement nombreux qu'il suffira de changer de site pour obtenir le fameux code à 3 chiffres.

Pour ce qui est du code postal... Même combat, cela dépend du pays d'origine de l'utilisateur... Là encore dans le meilleur des cas, il n'y a pas plus de 10 000 combinaisons possibles... Sachant que certains sites laissent un nombre d'essais illimités pour ce composant de l'authentification.

En automatisant les procédures, les chercheurs ont réussi à obtenir le CCV, la date de validité et le code postal de 7 cartes Visa, uniquement à partir de leur code principal. Mieux encore : chaque carte a été "piratée" en seulement 4 secondes.

On relativisera en se disant qu'il faudra que les pirates aient récupéré le code principal de la carte Visa au préalable... Malgré tout, on rappellera que ces numéros de carte sont vendus en lots sur le DarkWeb pour une bouchée de pain... Et que ces données sont régulièrement la cible de pirates sur les gros sites en ligne. Notons également qu'un pirate peut également générer automatiquement un code de carte bancaire et tenter sa chance... en espérant tomber sur un compte valide.

Ce qui pose problème, c'est avant tout la façon dont est pensée la sécurité des cartes bancaires et de l'association des éléments d'authentification, trop simples à récupérer par la force brute. Si tous les sites en ligne venaient à demander la même combinaison de données, il serait beaucoup plus complexe de mettre en oeuvre ce type de piratage.

Une des pistes évoquées par les chercheurs pour éviter ce genre d'attaque serait en mettre en place des dispositifs de détection directement au coeur des réseaux des systèmes de paiement. Lorsque le module ainsi mis en place (comme c'est le cas chez MasterCard) repère plusieurs tentatives sur un même numéro avec des données systématiquement variées, un blocage temporaire de la carte s'opère.

Complément d'information
  • A Nice, la Carte Bleue Visa passe au sans contact
    Pendant qu'une expérimentation à grande échelle du sans contact mobile s'ouvre à Nice, Visa Europe annonce, également à Nice, le lancement d'une Carte Bleue Visa dotée d'une fonction NFC tandis que des terminaux de paiement sont ...
  • Phishing ciblant les détenteurs d'une carte de crédit VISA
    Les possesseurs d'une carte de crédit VISA doivent redoubler de vigilance lors de la consultation de leurs boîtes aux lettres électroniques. Ils sont les cibles d'une arnaque de type phishing.

Vos commentaires Page 1 / 4

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1937673
moralite ? penez une mastercard ?
Le #1937674
Carte de crédit prépayée sur un compte Paypal. Tranquille la vie...

@hotshuff +1. Effectivement recommandée pour sa sécurité !
Le #1937675
Une carte virtuelle (e.cartebleue par ex.) et c'est réglé.

Numéros à usage unique, même piraté entre le client et le commerçant, au pire c'est le montant de l'achat.
Sachant qu'il faudrait le faire avant la validation par le commerçant, ça reste plutôt sécurisé.
Le #1937676
"Lorsque le module ainsi mis en place (comme c'est le cas chez MasterCard) repère plusieurs tentatives sur un même numéro avec des données systématiquement variées, un blocage temporaire de la carte s'opère."

Super, je vais être coincé è la station service (magasin, whatever) ne pouvant plus payer car ma carte sera bloqué. La carte devrait être bloqué sur le site en question, mais pas totalement, même temporairement.
Le #1937689
hotshuff a écrit :

moralite ? penez une mastercard ?


Elle est plus sécurisée que la Visa ? Tu sais pourquoi ?
Le #1937690
Mathrix a écrit :

"Lorsque le module ainsi mis en place (comme c'est le cas chez MasterCard) repère plusieurs tentatives sur un même numéro avec des données systématiquement variées, un blocage temporaire de la carte s'opère."

Super, je vais être coincé è la station service (magasin, whatever) ne pouvant plus payer car ma carte sera bloqué. La carte devrait être bloqué sur le site en question, mais pas totalement, même temporairement.


T'as pas du bien comprendre, ce qui rend les MasterCard sécurisées justement c'est que c'est la carte même qui est bloquée et c'est pas juste le magasin qui bloque. Comme ça un pirate peut pas essayer des numéros sur 500 sites différents. Par contre je sais pas si elle est bloquée pour les achats physiques, ça ça serait un peu con.
Le #1937691
skynet a écrit :

hotshuff a écrit :

moralite ? penez une mastercard ?


Elle est plus sécurisée que la Visa ? Tu sais pourquoi ?


C'est écrit dans l'article :
"Une des pistes évoquées par les chercheurs pour éviter ce genre d'attaque serait en mettre en place des dispositifs de détection directement au coeur des réseaux des systèmes de paiement. Lorsque le module ainsi mis en place (comme c'est le cas chez MasterCard) repère plusieurs tentatives sur un même numéro avec des données systématiquement variées, un blocage temporaire de la carte s'opère."
Le #1937694
Castiel a écrit :

skynet a écrit :

hotshuff a écrit :

moralite ? penez une mastercard ?


Elle est plus sécurisée que la Visa ? Tu sais pourquoi ?


C'est écrit dans l'article :
"Une des pistes évoquées par les chercheurs pour éviter ce genre d'attaque serait en mettre en place des dispositifs de détection directement au coeur des réseaux des systèmes de paiement. Lorsque le module ainsi mis en place (comme c'est le cas chez MasterCard) repère plusieurs tentatives sur un même numéro avec des données systématiquement variées, un blocage temporaire de la carte s'opère."


Je crois qu'on s'est mal compris. Si un pirates essaie de pirater ma carte sur 500 sites et que ma carte se fasse bloquée pendant que je suis au magasin, je peux l'utiliser ou pas?Elle est bloquée, non?
Le #1937695
Padrys a écrit :

Une carte virtuelle (e.cartebleue par ex.) et c'est réglé.

Numéros à usage unique, même piraté entre le client et le commerçant, au pire c'est le montant de l'achat.
Sachant qu'il faudrait le faire avant la validation par le commerçant, ça reste plutôt sécurisé.


Oui mais ça protège surtout la banque, pas l'utilisateur, qui en plus paye ce service.

Alors que l'assurance sur la carte, obligatoire, elle, doit payer s'il y a fraude et qu'il est impossible de prouver que l'utilisateur est en tort.

Il faut se méfier des discours de nos banquiers et surtout de nos assureurs...
Le #1937701
Rien de mieux qu'une e-carte bleue en effet
Suivre les commentaires
Poster un commentaire
Anonyme