Chercher sa carte bancaire dans son portefeuille et en saisir les différentes informations pour effectuer un achat en ligne prend au maximum une minute. Rapide ? Oui, mais c’est tout de même dix fois plus de temps qu’il n’en faut à un hacker pour pirater cette carte, révèlent des chercheurs de l’université de Newcastle. L’information fait froid dans le dos alors qu’en France, l’Observatoire national de la délinquance et des réponses pénales révèle dans son dernier rapport publié mercredi une forte hausse des retraits frauduleux sur les comptes bancaires.
Dans un article intitulé Le domaine des moyens de paiements en ligne facilite-t-il la fraude ? , ceux-ci estiment qu’il ne faut en effet pas plus de six secondes pour deviner les informations d’une carte Visa en utilisant une simple connexion Internet et un bot, grâce à la technique du « mass guessing », soit la multiplication des essais pour deviner des informations.
La première étape, expliquent les scientifiques, est d’obtenir un numéro de carte à 16 chiffres. Ce n’est pas difficile, car ceux-ci s’échangent sur Internet pour moins d’un dollar pièce. Il suffit ensuite de deviner la date d’expiration de la carte et le code de sécurité à trois chiffres qui se trouve au dos, des informations utilisées par la plupart des sites marchands pour vérifier la validité des cartes bancaires.
Il est aisé pour les bots de tester des centaines de combinaisons
Pour ce faire, les pirates peuvent utiliser un bot qui se connectera à des dizaines de sites de e-commerce différents pour essayer différentes combinaisons. Deviner le mois et l’année d’expiration de la carte, dont la validité peut en général aller jusqu’à 5 ans, prend donc une soixantaine d’essais au maximum. Quant au code de sécurité à trois chiffres, il n’y a que 1 000 réponses possibles.
La plupart des sites, écrivent les auteurs de l’étude, autorisent de 4 à 50 essais manqués avant de s’alarmer, quand certains ne mettent aucune limite. Il est donc aisé pour les bots de tester des centaines de combinaisons en utilisant un grand nombre de sites différents. Visa ne dispose en effet d’aucun dispositif de détection du « mass guessing », contrairement à MasterCard, notent les scientifiques.
La diversité des sites de paiement affaiblit le système
Mais la véritable « clé » du système, c’est la diversité des sites de paiement, qui demandent des informations différentes en plus du numéro de carte, entre la date d’expiration, l’adresse de son propriétaire ou le numéro de sécurité. « Nous avons observé que les différences entre les systèmes de sécurité des divers sites Web sont une vulnérabilité exploitable » en permettant aux bots de recouper les résultats, résument les chercheurs. Autrement dit, plus les marchands ajoutent des champs de vérification en croyant renforcer la sécurité du système, plus celui-ci est affaibli.
Sollicitée par The Independent, la société Visa note que « cette recherche ne prend pas en compte les multiples niveaux de protection existant au sein du système de paiement », assurant être « engagée pour limiter la fraude et travailler avec les émetteurs et les acquéreurs de cartes pour rendre plus difficile l’obtention illégale de ces données ». « Le plus important » pour les consommateurs, conclut Visa, est que « si leur numéro de carte est utilisé de manière frauduleuse, ils sont exemptés de toute responsabilité ».