Pirater une carte bancaire : six secondes suffisent

Pirater une carte bancaire : six secondes suffisent
En 2015, plus de 1,1 million de Français se sont fait pirater leur carte bancaire. - © welcomia

Des chercheurs britanniques ont trouvé une méthode pour pirater en six secondes les données d’une carte bancaire Visa.

En 2015, plus de 1,1 million de Français se sont fait pirater leur carte bancaire contre 900 000 l’année précédente, d’après le dernier rapport sur le sentiment d’insécurité et les faits de délinquance de l’Observatoire national de la délinquance et des réponses pénales. Un chiffre qui a de quoi inquiéter. Quatre chercheurs de l’université de Newcastle, au Royaume-Uni, viennent d’ailleurs de démontrer qu’il est très facile de pirater à distance une carte Visa.

Pour payer avec sa carte bancaire en ligne, il faut saisir le numéro de la carte, la date de fin de validité et le cryptogramme (code CVV), les trois chiffres situés au dos. Or d’après les conclusions d’une étude sur la sécurité des cartes Visa, publiée jeudi 1er décembre, six secondes suffisent pour pirater à distance une de ses cartes. Le procédé est « terriblement facile » expliquent les experts britanniques. Il suffit simplement d’avoir un ordinateur et une connexion internet. La méthode utilisée s’appelle « Distributed Guessing Attack », soit en français, une « attaque décentralisée et par élimination ». En six secondes, les pirates obtiennent la date d’expiration et le code CVV.

Multiplier les essais jusqu’à obtenir la bonne combinaison

Pour cela, ils ont besoin du numéro de la carte bancaire, ce qui peut être facilité par les fuites de données bancaires (en juin dernier par exemple, le fabricant informatique Acer a révélé s’être fait dérobé sur sa boutique en ligne les informations de 34 000 clients). Les pirates trouvent ensuite la date d’expiration en interrogeant à partir d’un bot (logiciel informatique) les systèmes de paiement de nombreux vendeurs en ligne. En soixante essais maximum, la bonne combinaison (mois et année) est trouvée. Quant au cryptogramme, il faut moins de 1 000 tentatives. Les tests prennent quelques secondes.

Mohammed Ali, l’un des chercheurs, pointe deux faiblesses dans le système de sécurité. « Premièrement, le système de paiement en ligne ne détecte pas les multiples tentatives erronées qui viennent de plusieurs sites Internet », explique-t-il au journal anglais The Independent. Deuxièmement, les sites marchands demandent des informations de sécurité différentes, CVV ou code postal, pour valider un achat en ligne. « Cela veut dire qu’il est facile de rassembler les informations et de les remettre dans l’ordre comme un puzzle ».

En revanche, les données de MasterCard sont plus difficiles à dérober, le réseau étant capable de détecter l’attaque en moins de dix essais.

Visa veut rassurer les détenteurs de ses cartes

Face à de telles révélations, la société Visa a réagi dans un communiqué. Selon elle, les chercheurs n’ont « pas pris en compte les multiples niveaux de protection existant contre la fraude ». Elle assure « travailler en étroite relation avec les émetteurs de carte et les distributeurs pour rendre très difficile l’obtention et l’utilisation illégale des données des cartes bancaires ».

Et afin de ne pas inquiéter les détenteurs de ses cartes bleues, Visa rappelle que « la chose la plus importante dont il faut se souvenir si le numéro (…) est utilisé frauduleusement est qu’ils sont exemptés de toute responsabilité ». Pas sûr que le message rassure…