Pirater une carte bancaire en 6 secondes : c’est fait

C’est une drôle d’expérience à laquelle se sont livrés les chercheurs d’une université britannique. Mais elle a fonctionné à merveille : ils ont tenté de deviner le numéro d’une carte bleue et son cryptogramme en multipliant les requêtes sur différentes boutiques en ligne. Temps de l’opération : 6 secondes seulement.

Voilà qui risque de donner des idées aux pirates de tout bord. Des chercheurs de l’université de Newcastle ont mis au point un petit bot, afin de leurrer les sites marchands. L’objectif de leur algorithme a été de deviner des numéros de carte VISA, de tenter d’en trouver la date d’expiration exacte et de déterminer le cryptogramme qui se trouve à l’arrière de chaque carte. L’idée a été de mener un tel piratage par une attaque de force brute. Car les cartes en question expirent généralement dans les 5 ans, ce qui ne laisse que 60 possibilités. Même chose pour le cryptogramme : il n’est composé que de 3 chiffres, ce qui ne nécessite que 1000 tentatives. Pour générer un numéro de carte de paiement, ils ont également utilisé une méthode assez simple : ils sont partis des 6 premiers numéros, qui permettent d’indiquer la banque et le type de carte. Ces informations sont identiques pour chaque fournisseur.

Pirater une carte bancaire en un clin d’oeil ? C’est possible, démonstration à l’appui.

Mais comment des sites marchands peuvent-ils se laisser ainsi berner par un bot qui tente toutes les combinaisons possibles ? Avant de lancer leur expérience, les chercheurs en sécurité se sont aperçus de deux « failles » sur les services de transaction en ligne. D’une part, les sites ne demandent pas systématiquement l’ensemble des informations en même temps. Ils le font étape par étape, ce qui permet de deviner un champ à la fois. Ensuite, la tentative effectuée par les chercheurs a été menée sur plusieurs sites à la fois, qui ne communiquent pas entre eux. De quoi laisser à leur algorithme le champ libre et déterminer en 6 secondes toutes les informations d’une carte de paiement. Mohammed Ali, auteur de l’étude, a cependant remarqué que son attaque ne fonctionne que sur les cartes VISA. Le réseau MasterCard « a été capable de détecter l’attaque au bout de 10 tentatives. » Pas très rassurant quand même, quand on sait qu’en 2015, VISA dominait avec 60,5% des parts de marché, contre 26,9% pour Mastercard.

>> Facebook, Google, LinkedIn… Optez pour la double validation