Il suffit de six secondes pour pirater une carte bancaire

 |   |  651  mots
Auteur de l'étude, Mohammed Ali souligne toutefois que cette technique d'attaque par force brute ne marche qu'avec le réseau VISA.
Auteur de l'étude, Mohammed Ali souligne toutefois que cette technique d'attaque par force brute ne marche qu'avec le réseau VISA. (Crédits : Fosforix/Flickr)
En multipliant les tentatives sur différents sites, des chercheurs sont parvenus à contourner facilement les systèmes de paiement sécurisés mis en place et ce sans même posséder la carte bancaire physique utilisée.

Votre carte bleue n'est en sécurité nulle part. Sans connaître aucun détail de celle-ci, des pirates peuvent facilement pirater un compte en banque. Il leur suffit simplement d'un ordinateur, d'un accès à Internet et de six secondes, révèlent les chercheurs de l'université de Newcastle, au Royaume-Uni, dans une étude publiée dans le journal académique IEEE Security & Privacy (IEEE signifiant Institute of Electrical and Electronics Engineer).

Dans la pratique, les chercheurs ont utilisé une attaque par force brute pour contourner les mesures de sécurité visant à protéger le système de paiement en ligne des fraude. Connectée sur différents sites, l'équipe de chercheurs a généré de façon répétée et continue des variations des différentes informations sécurisés de cartes de paiement (numéro de carte, date d'expiration et cryptogramme visuel) jusqu'à obtenir un résultat favorable. D'après l'étude, c'est vraisemblablement une attaque du genre qui était au cœur de l'attaque informatique contre la filiale bancaire du géant britannique de la distribution Tesco, dont 20.000 clients ont été victimes.

Deux petites faiblesses qui en font une grosse

Si l'attaque parvient à réussir, c'est parce que le système ne détecte en effet pas les échecs répétés sur une même carte si cela se produit sur différents sites, d'autre part, tous les sites ne demandent pas les mêmes informations au même moment, ce qui permet de deviner un champ à la fois.

"Ce type d'attaque exploite deux faiblesses qui ne sont pas trop graves d'elles-même mais lorsque utilisées simultanément présentent un sérieux risque pour l'ensemble du système de paiement", explique dans le communiqué Mohammed Ali, étudiant en doctorat à l'école d'informatique de l'université de Newcastle et auteur principal de l'étude.

Simplement en partant des six premiers numéros de la carte de paiement, qui servent à indiquer la banque et le type de carte et sont donc identiques pour chaque fournisseur unique, "un pirate peut obtenir les trois informations essentielles pour réaliser un achat en ligne en tout juste six secondes". Le délai peut être extrêmement réduit dans les cas où le pirate dispose des numéros de cartes, ce qui risque d'arriver de plus en plus souvent au vue de la récente vague d'intrusions informatiques survenues dans les plus grandes entreprises. Il leur suffit dans ce cas de deviner la date d'expiration - moins de 60 essais puisque la plupart des cartes de crédit sont valides cinq an au maximum -, puis le cryptogramme visuel composé de trois chiffres - ce qui prend dans le pire des cas 1.000 essais.

     | Diaporama Les pires piratages de comptes de l'Histoire

Mohammed Ali souligne toutefois que cette technique d'attaque par force brute ne marche qu'avec le réseau VISA, "le réseau centralisé de MasterCard a été capable de détecter l'attaque après moins de 10 essais - même lorsque les paiements étaient répartis sur différentes réseaux". Autre point faible de la technique : la confirmation par SMS, que demandent bon nombre de sites d'e-commerce en France.

Pour se défendre contre ce type d'attaque, la personne lambda est généralement impuissante. Elle peut toutefois se prémunir en utilisant une carte et un compte spécifique pour le paiement en ligne ou en se rassurant avec des chiffres. L'an passé, le taux de fraude sur les cartes de paiement françaises s'est établi à 0,070%, en hausse par rapport à 2014, selon le dernier rapport annuel de l'Observatoire de la sécurité des cartes de paiement. Sur les 592,2 milliards d'euros (+2,8% sur un an) de transactions réalisées en 2015, le montant total de la fraude s'élevait à 416,1 millions d'euros (+5,2%).

>> Lire aussi Paiement en ligne : la lutte contre la fraude à la carte bancaire s'intensifie

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 23/06/2020 à 0:04 :
Bonjour cher membres. Je réponds au nom de Vivianne. Je suis très contente de ce sit. Et j'aimerais que vous m'apprenez comment l'utiliser. Merci pour ma compréhension et ma réponse
a écrit le 20/05/2020 à 21:09 :
AVIS AUX UTILISATEURS D ’ INTERNET  

Bonjour Chers citoyens utilisateurs d’internet,Vous pouvez être confronté à des organisations, des sociétés ou des individus malveillants vous proposant par courrier, téléphone, ou tout autre moyen de communication des services adaptés, des prêts à taux zéro, des personnes qui vous promettent de l'amour et ensuite vous demandes de l'argent , des héritages mirobolants , des agents d’Interpol etc….Agissant souvent sous le couvert des pseudos ou de faux profils, ils vous demanderont de l’argent ou vous adresseront par la suite des factures correspondant à des prestations inexistantes. Il vous est évidemment loisible de saisir la brigade la plus proche de vous afin de porter plainte contre X. Par ailleurs, que vous soyez une entreprise ou un particulier, si vous pensez être victime d’une escroquerie, vous pouvez contacter COMMISSION INTERNATIONALE DE LA POLICE CRIMINELLE Composée de policiers et de gendarmes, la plate-forme « COMMISSION INTERNATIONALE DE LA POLICE CRIMINELLE» est chargée d’informer, de conseiller et d’orienter les personnes victimes d’une escroquerie. Le service est ouvert 24H / 24H du lundi au dimanche.

CONSEILS PRATIQUES :

– Ne jamais communiquer le numéro de carte bancaire pour le paiement d’un impôt ou le remboursement d’un crédit d’impôt, ni pour compléter vos coordonnées personnelles.

– Ne jamais envoyer de l’argent à un inconnu.

– signaler tout contenu ou comportement illicite que vous auriez rencontré dans votre utilisation d’internet en général.

– En cas d’arnaque veuillez prendre contacte avec nous afin que nous puissions vous aider a récupéré votre argent qui vous a été volé et vous serrez dédommagé avec intérêts. 

Adresse mail :  service.criminalite1@gmail.com

Cordialement 

Service Criminalité
a écrit le 15/05/2020 à 14:31 :
Coo
a écrit le 11/03/2020 à 2:26 :
Enfin, j'ai trouvé des hackers professionnels qui m'ont fait plaisir et ont répondu à mes besoins à long terme, piraté ma base de données universitaire et mis à jour mes résultats.
Ils m'ont également aidé à accéder à un compte Facebook et m'ont également aidé à accéder au compte bancaire de mon ami et ont effectué des virements pour moi.
Vous pouvez les contacter à: DARKWEBHACKERS20@GMAIL.COM
whatsapp: +447727710235

Ils sont légendaires et apportent des solutions dans:
* Piratage général des médias sociaux, par exemple, Facebook, Instagram, Twitter, Skype
* Modifier et mettre à jour le diplôme universitaire
* Notes et transcriptions de l'Université Hack
* Antécédents judiciaires clairs
* Piratage général et pénétration des bases de données
* Les comptes PayPal ont vérifié le piratage
* Pirater tous les comptes de médias sociaux
* Piratez tous les appareils Android, iPhone et Windows Mobile
* pointage de crédit clair
* Augmenter Facebook, les followers et j'aime Instagram
* Couper les comptes bancaires
* pirater les comptes de messagerie
* Site Web bloqué par des pirates
* Aidez-vous à vous inscrire à ILLUMINATI et à devenir célèbre plus rapidement
* supprimer des vidéos YouTube ou augmenter les vues
* transfert scolaire et contrefaçon de certificat
* Récupération de fichiers ou documents perdus
* piratage de toutes les données bancaires et des pirates de cartes de crédit
* charge bitcoin et multiplication de pièces
et d'autres types de pirates.

contactez-les à: DARKWEBHACKERS20@GMAIL.COM
whatsapp: +447727710235
pour que vous puissiez à nouveau sourire ...
a écrit le 02/02/2020 à 1:39 :
Jai besoin
a écrit le 28/11/2019 à 15:59 :
salut je m'appele celia comment pirater un compte visa
a écrit le 28/07/2019 à 21:43 :
Je veux un carte bancaire
a écrit le 02/06/2019 à 17:26 :
je suis une femme simple
a écrit le 01/11/2018 à 23:21 :
Je veux une cart
a écrit le 15/10/2018 à 0:06 :
Salut
a écrit le 29/09/2018 à 16:55 :
Comment pirater une sim, compte banquaire et un reseau ?
a écrit le 29/07/2018 à 0:34 :
je veux que tu les laisse de message sur mon adresse email merci via : peigegeallo@gmail.com
a écrit le 31/12/2017 à 2:17 :
Piratage code banker
Réponse de le 22/02/2018 à 1:49 :
Laisser moi votre contacte c'est pour avoir une satisfaction.
a écrit le 26/07/2017 à 13:44 :
bonjour
a écrit le 07/12/2016 à 16:16 :
Je regrette le titre racoleur et alarmiste de l'article dans lequel on apprend qu'il s'agit bien en fait d'un test labo, qui ne marche a priori que sur les cartes Visa (UK ou toutes ? on ne sait pas) et bien sûr pas pour les sites protégés par 3D Secure (l'envoi du code par SMS pour valider une transaction en ligne)
Il serait également intéressant de connaître les BIN (les 6 premiers chiffres de la carte) de quelles banques ont été utilisés pour le test, et leurs réactions ?
Et le point de vue du GIE CB et des représentants des banques françaises (comme le souligne Coam : quelle protection contre ces attaques par force brute ?) : cela serait-il possible sur des cartes Visa françaises ?
Enfin, mentionner que la directive DSP2 voulue par la Commission Européenne et son controversé volet Authentification Forte du Porteur, applicable à compter de début 2018, visent précisément à lutter contre ce fléau de la fraude en ligne.
a écrit le 04/12/2016 à 21:14 :
Donc nos cartes bleues ne sont pas sûres et en plus dorénavant elles sont lues à distance, système que de nombreux hackers ont réussi à contourner, dont Aaron Swartz me semble t'il.
a écrit le 03/12/2016 à 15:49 :
En théorie! Il me semble qu'il existe des mécanismes chez les commerçants comme chez les banques pour prévenir ce type d'attaque par force brute
a écrit le 02/12/2016 à 19:56 :
416 millions. Une paille... Rentable, leur CDD...

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :