Comment deviner les détails d’une carte Visa en seulement 6 secondes

Par

le

Des chercheurs en sécurité ont montré comment une carte Visa peut être piratée en seulement 6 secondes grâce à un programme capable de deviner le code de sécurité et la date d’expiration.

Des chercheurs de l’Université de Newcastle ont identifié une cyberattaque banale qui exploite les défauts dans le système de paiement par carte Visa. Avec le bon ensemble de logiciels, les failles peuvent être exploitées pour «deviner» un numéro de carte, sa date d’expiration et le CVV à trois chiffres (le code de sécurité) au verso d’une carte en six secondes.

Mohammed Aamir Ali, Budi Arief, Martin Emms, et Aad van Moorsel, de l’Université de Newcastle, notent que l’attaque utilise plusieurs sites Web de paiement en ligne pour exécuter une attaque par « bruteforce », en testant tous les codes CVV et dates d’expiration possibles.

Comme vous le savez peut-être, de nombreux marchands en ligne limitent le nombre de tentatives lorsqu’on entre des informations de paiement. Ce que les chercheurs ont trouvé, cependant, est que le réseau de Visa ne détecte pas les multiples tentatives de paiement échouées d’une même carte sur différents sites.

Une autre information importante est qu’en fonction du site web, les champs à remplir concernant la carte varient. Encore une fois, parce que le réseau de Visa ne détecte pas de multiples demandes de paiement non valides, un nombre illimité de combinaisons peuvent être faites sur de nombreux sites Web.

La plupart des pirates sont déjà en possession des numéros de cartes valides, mais même sans numéros, il est relativement facile de générer des variations de numéros de carte, a déclaré l’équipe.

Avec un numéro de carte valide dans la main, la prochaine étape est de deviner la date d’expiration. Mohammed Aamir Ali note que les banques émettent généralement des cartes qui sont valables pour 60 mois, ce qui signifie que deviner la date demande au maximum 60 tentatives. Le nombre à trois chiffres du CVV est la dernière étape, mais on peut le deviner en moins de 1 000 tentatives.

Répartissez tout cela sur des centaines ou des milliers de sites à la fois en utilisant un robot web et des scripts automatisés et vous pouvez obtenir tous les détails pertinents en seulement six secondes. L’équipe a utilisé ses propres cartes, y compris sept cartes Visa pour vérifier qu’il est en effet possible d’obtenir toutes les informations sur une carte en utilisant cette démarche.

De son côté, Visa ne semble pas plus inquiet que cela. Dans une déclaration au Guardian, Visa a déclaré que cette recherche n’a pas pris en compte les multiples couches de prévention contre les fraudes qui existent dans le système de paiement, ajoutant que chacune doit être respectée afin de rendre une transaction possible dans le monde réel.

Les chercheurs ont testé la même attaque avec les cartes MasterCard mais cela a échoué, car le système était capable de la détecter (100 tentatives maximum). Qui plus est, les commerçants qui utilisent la technologie 3D Secure (comme Verified by Visa ou MasterCard SecureCode) ont également été protégés contre l’attaque.


Articles recommandés