Voici comment des hackers peuvent pirater votre carte bancaire en six secondes

Des experts britanniques en sécurité informatique viennent de dévoiler une faille qui permet de dérober les données d'une carte bancaire, et la technique est d’une facilité déconcertante.

Tels des parasites qui pourrissent le quotidien paisible des internautes, les hackers, ces mauvais petits malins multiplient les stratagèmes pour semer la terreur. L’une des plus redoutées est le vol de données bancaires, une pratique qui n’est pas si rare et qui est rendue possible par un certain nombre de failles.

Dans le monde des pirates, il y a le camp des gentils (white hat) et celui des méchants (black hat). Des chercheurs de l’université de Newcastle (Royaume-Uni) entrant dans la première catégorie viennent de publier un rapport qui expose une technique permettant de dérober les données d’une carte bancaire en seulement 6 secondes. Il s’agit d’une arme redoutable aux mains des hackers situés du côté obscur de la Force.

Des attaques par force brute

L’utilisation d’une carte bancaire est subordonnée à la saisie de deux informations confidentielles : un code de sécurité de 3 chiffres (le cryptogramme visuel) et la date d’expiration de la carte. Quand on y pense, il n’est pas si difficile d’obtenir ces informations et d’utiliser une carte bancaire pour peu que l’on dispose de son numéro. Sur ce dernier point, il faut savoir qu’Internet regorge de sites proposant d’acheter des numéros de cartes de paiement venant de diverses banques.

Une fois en possession d’un numéro, les hackers exploitent une technique connue sous le nom d’ « attaque par force brute ». Il s’agit d’une technique largement utilisée pour identifier les mots de passe. Dans la pratique, un robot informatique est programmé pour essayer des milliers, voire des millions de combinaisons de mots de passe jusqu’à finir par identifier le bon. En fonction de la complexité du mot de passe, le processus peut durer des heures, voire des jours. Mais il peut également ne prendre que quelques secondes, et c’est le cas pour cette technique exploitée pour les cartes bancaires : 6 secondes très exactement.

Les raisons d’une telle facilité sont simples. Les cartes bancaires expirent généralement dans les 5 ans, ce qui ne laisse que 60 possibilités différentes au maximum pour la date d’expiration (5 x 12 mois). Pareil pour le cryptogramme qui ne compte que 3 chiffres, ce qui ne nécessite que 1 000 tentatives.

Un système de sécurité faillible

La question qui coule de source est de savoir comment ces combinaisons peuvent être essayées sans qu’aucun dispositif de sécurité ne bloque le système. La réponse est une fois encore assez simple.

Pour contourner cette contrainte, les hackers multiplient les requêtes sur différentes boutiques en ligne, et ce, au même moment, le tout étant coordonné par le même logiciel pirate. Et puisque les sites marchands ne communiquent pas entre eux, les hackers disposent ainsi d’une marge de manœuvre étendue pour essayer différentes combinaisons.

Pour finir, les chercheurs ont tenu à préciser que leurs attaques n’ont fonctionné que pour les cartes VISA. En effet, le réseau MasterCard « a été capable de détecter l’attaque au bout de 10 tentatives », quel que soit le site sur lequel la carte est utilisée. De quoi rassurer donc les utilisateurs de cartes MasterCard, même s’ils n’ont que 26,9 % de parts de marché, contre 60,5 % pour VISA.

Dans la foulée de la publication de ce rapport, VISA a fait savoir que des disposition ont été prises pour corriger cette faille.


Suivez nous sur facebook

Réagissez à cet article !