Illustration/SIPA
Alors que les retraits frauduleux ont augmenté ces derniers temps, des chercheurs de l’université de Newcastle se sont penchés sur le piratage des cartes bancaires.
Cette information est loin de rassurer les clients de la banque. Les chercheurs de l’université de Newcastle ont en effet déclaré qu’un hacker n’a besoin que de six secondes pour pirater une Visa. Cette nouvelle intervient au même moment où l’Observatoire national de la délinquance et des réponses pénales a dévoilé une forte hausse des retraits frauduleux sur les comptes bancaires. Les scientifiques ont utilisé la technique du "mass guessing" ou la multiplication des essais pour deviner des informations.
Selon les chercheurs, les hackers se servent uniquement d’une simple connexion Internet et d’un bot pour avoir accès aux cartes. Dans un article intitulé "Le domaine des moyens de paiements en ligne facilite-t-il la fraude ?", les scientifiques expliquent la manœuvre des pirates informatiques. La première étape consiste, selon eux, à obtenir un numéro de carte à 16 chiffres. Il suffit ensuite de deviner la date d’expiration de la carte et le code de sécurité à trois chiffres se trouvant au dos.
Avec un bot, les hackers peuvent se connecter à des dizaines de sites de e-commerce différents et essayer différentes combinaisons. Entre le déchiffrage du mois et de l’année d’expiration de la carte et l’essai du code de sécurité, les pirates peuvent essayer des centaines de combinaisons en utilisant un grand nombre de sites différents. D’autant plus que la majorité des sites accordent de 4 à 50 essais manqués avant de s’alarmer. Les bots peuvent alors plus facilement tester des centaines de combinaisons en utilisant un grand nombre de sites différents. Il est à noter que contrairement à MasterCard, Visa ne dispose d’aucun dispositif de détection du "mass guessing".
Le piratage des cartes bancaires est surtout facilité grâce à la diversité des sites de paiement. Ces derniers demandent des informations différentes en plus du numéro de carte, entre la date d’expiration, l’adresse de son propriétaire ou le numéro de sécurité. "Nous avons observé que les différences entre les systèmes de sécurité des divers sites Web sont une vulnérabilité exploitable" en permettant aux bots de recouper les résultats, résument les chercheurs cités par 20 Minutes. En d’autres termes, les nombreux champs de vérification ne font qu’affaiblir le système. Pour se défendre, la société Visa a déclaré au journal The Independent que "cette recherche ne prend pas en compte les multiples niveaux de protection existant au sein du système de paiement". Elle a assuré son engagement pour limiter la fraude.
