Carte VISA : 4 secondes suffisent pour la pirater

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Carte VISA : 4 secondes suffisent pour la pirater

Publié le 08 décembre 2016 à 19:10 par Mathieu M.

Lire sur mobile

Des experts en sécurité viennent de tirer la sonnette d'alarme : ils ont mis au point un algorithme capable de deviner le cryptogramme visuel et la date de validité d'une carte Visa à partir de son numéro.

Jusqu'à présent, la plupart des transactions réalisées en ligne à l'aide d'une carte de paiement misent sur une combinaison d'éléments : nom du détenteur de la carte, numéro, date de validité et Cryptogramme visuel (CVV). Si certaines banques imposent une authentification à double facteur avec l'envoi d'un code de validation par SMS, ce n'est pas systématiquement le cas pour tous les émetteurs de cartes VISA.

Et la situation pose désormais problème... Des chercheurs de l'Université du Kent et de l'Univesité Newcastle mettent en avant le fait qu'il devient possible de deviner l'intégralité des données d'identification à partir d'un simple numéro de carte.

Et pour ce faire, il n'y aura pas forcément besoin d'être un hacker en puissance, mais simplement d'être méthodique et patient... Ainsi, certains sites ne demandent pas systématiquement toutes les données pour valider un achat et se limitent à la combinaison numéro de carte + code postal, ou numéro de carte + date de validité. Sachant qu'une carte Visa n'est valide que pendant 60 mois au maximum, les combinaisons sont largement restreintes.

Une fois les données en poche, il suffit de s'attaquer à la recherche du CCV... Là encore, les combinaisons sont limitées. Et bien que la plupart des sites de vente en ligne autorisent 6 tentatives maximum, ils sont tellement nombreux qu'il suffira de changer de site pour obtenir le fameux code à 3 chiffres.

Pour ce qui est du code postal... Même combat, cela dépend du pays d'origine de l'utilisateur... Là encore dans le meilleur des cas, il n'y a pas plus de 10 000 combinaisons possibles... Sachant que certains sites laissent un nombre d'essais illimités pour ce composant de l'authentification.

En automatisant les procédures, les chercheurs ont réussi à obtenir le CCV, la date de validité et le code postal de 7 cartes Visa, uniquement à partir de leur code principal. Mieux encore : chaque carte a été "piratée" en seulement 4 secondes.

On relativisera en se disant qu'il faudra que les pirates aient récupéré le code principal de la carte Visa au préalable... Malgré tout, on rappellera que ces numéros de carte sont vendus en lots sur le DarkWeb pour une bouchée de pain... Et que ces données sont régulièrement la cible de pirates sur les gros sites en ligne. Notons également qu'un pirate peut également générer automatiquement un code de carte bancaire et tenter sa chance... en espérant tomber sur un compte valide.

Ce qui pose problème, c'est avant tout la façon dont est pensée la sécurité des cartes bancaires et de l'association des éléments d'authentification, trop simples à récupérer par la force brute. Si tous les sites en ligne venaient à demander la même combinaison de données, il serait beaucoup plus complexe de mettre en oeuvre ce type de piratage.

Une des pistes évoquées par les chercheurs pour éviter ce genre d'attaque serait en mettre en place des dispositifs de détection directement au coeur des réseaux des systèmes de paiement. Lorsque le module ainsi mis en place (comme c'est le cas chez MasterCard) repère plusieurs tentatives sur un même numéro avec des données systématiquement variées, un blocage temporaire de la carte s'opère.