6 secondes pour deviner votre numéro de carte bleue et son cryptogramme

carte-bleue

Des hackers auraient mis au point un système pour « deviner » en moins de 6 secondes votre numéro de carte bleue, sa date de validité, et son cryptogramme de sécurité.

La méthode, décrite dans le journal IEEE Security & Privacy, a été étudiée par des experts de l’Université de Newcastle. Ces derniers l’ont décrite comme « effroyablement facile » à mettre en œuvre.

Pour parvenir à ce résultat, les hackers ont mis au point une méthode dite de « Distributed Guessing Attack ». Celle-ci consiste à utiliser les champs d’information bancaire de nombreux sites marchands pour deviner (en procédant par élimination) les données de la carte de crédit ciblée.

Le système, géré par des bots qui automatisent le procédé, va remplir tous les champs d’information bancaire, requis par chacun des sites Internet utilisés, avec des valeurs arbitraires (sauf les 6 premiers numéros de la carte qui correspondent à l’identité de la banque et sont donc connus). Lorsque celles-ci sont fausses, il en essaye d’autre et ainsi de suite, éliminant chaque entrée non valide.

Lorsqu’un numéro (que ce soit celui de la carte bleue, son cryptogramme, ou sa date de validité) est confirmé, le système le verrouille et le transmet à tous les autres sites Internet qui servent à « distribuer l’attaque ». A chaque nouvelle entrée découverte, les suivantes deviennent plus faciles à déterminer.

Deux failles connues des systèmes bancaires sont exploitées

Selon Mohammed Ali, l’un des doctorants de l’Université qui a participé à l’étude de la méthode, « ce type d’attaque exploite deux faiblesses qui, prisent indépendamment ne sont pas graves, mais associées peuvent devenir très dangereuses pour l’ensemble des systèmes de paiement» (propos rapportés par The Independant).

« La première, c’est que le système de paiement en ligne actuel ne détecte pas les requêtes invalides qui proviennent de plusieurs sites Internet. Cela autorise une quantité illimitée de suggestions pour chaque champ de données de la carte. Le nombre d’essais effectués par site Internet peut varier entre 10 ou 20.

La seconde est que différents sites Internet peuvent demander des variations différentes de chaque champ de données [pour une même carte]. Cela signifie qu’il devient assez facile de reconstituer l’ensemble des informations nécessaires à la manière d’un puzzle.

Les essais illimitées, combinés à la possibilité de faire varier les informations des champs de paiement, rendent terriblement faciles la détermination des détails de la carte de crédit un champ à la fois. »

Après le casse de la Tesco Bank, VISA se veut rassurante

De son côté, Visa, l’organisme sécurisant les procédés bancaires, s’est exprimée à ce sujet en rappelant que l’étude ne souligne pas le nombre de procédés de hacking qui sont rendus impossibles par les systèmes de sécurité mis en place au sein des banques.

Qui plus est, dans le cas de cette attaque, même si les pirates parviennent à déterminer les informations d’une carte de crédit, si celle-ci est une VISA, il leur faudrait aussi venir à bout du système de double authentification mis en place par l’organisme (Via texto ou appel téléphonique) pour extraire l’argent du compte bancaire correspondant.

Toujours est-il que selon l’Université de Newcastle, la « Distributed Guessing Attack » aurait été employée dans le cadre du récent « casse Internet » opéré contre la Tesco Bank britannique. 9000 clients auraient été affectés pour un total de 2,5 millions de livres (environ 3 millions d’euros) dérobés.

Tags :
Dernières Questions sur UberGizmo Help

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Publicité