Pirater une carte bancaire demande 6 secondes avec ce nouvel outil

La carte de crédit reste l’élément fondateur de nos solutions de paiement désormais, particulièrement en ligne où tous nos achats passent par celle-ci. Mais de nombreux chercheurs en sécurité viennent de faire une découverte troublante : il est en effet possible de pirater certaines cartes en quelques secondes en ne disposant que de ses numéros de façade.

carte-bancaire-paiement-sans-contact

Chaque jour, les pirates et experts en sécurité informatique nous rappellent à quel point nos informations ne sont pas en sécurité. La carte bancaire classique reste notre moyen de paiement préféré sur internet, mais celle-ci est aujourd’hui mise en péril.

Il faut dire qu’il y a quelque chose de rassurant dans le fait de faire appel à un objet physique pour payer sur le net. Nous avons ainsi l’impression que s’en emparer est plus que difficile, mais il n’en est au final rien : on se rappellera par exemple du casse extraordinaire à 11 millions d’euros réalisé avec des cartes clonées.

Mais il faut évidemment toutes les informations de ces cartes pour pouvoir réaliser ce type d’opération, n’est-ce pas ? Et bien non, comme le prouvent aujourd’hui les chercheurs Mohammed Aamir Ali, Budi Arief, Martin Emms, et Aad van Moorsel, qui ont développé un programme capable de deviner le code de sécurité et la date d’expiration de nombreuses cartes bancaires en quelques secondes.

Il s’agit en réalité d’un bruteforce (un test massif réalisé par un ordinateur en lançant des chiffres au hasard), réalisé contre 400 marchands du net différents, qui leur permet de retrouver ces numéros aisément. Leur solution peut également permettre de retrouver le code postal et l’adresse affiliée à ces cartes du même temps.

Tout ce dont ils ont besoin pour prendre le contrôle total d’une carte est ses numéros. Numéros qui peuvent être acquis de bien des manières, de nombreuses banques de données existant en ligne pour cela ou en utilisant les failles du paiement NFC pour les récupérer dans un environnement proche.

A noter que cette solution ne fonctionne pas contre les cartes MasterCard, qui bloquent l’accès à une carte après 100 essais. Les cartes Visa y sont par contre totalement vulnérables. Tout cela est possible à cause du manque de vérifications faites par les marchands en ligne, qui sont ainsi poussés par les chercheurs à revoir leur sécurité.

Réagissez à cet article !
  • Sinon une simple lecture NFC d’une CB permet d’avoir toute les info nécessaire pour réaliser un paiement….
    Le cartes ne sont même pas cryptés…

    • comcom

      Limité à 20€ (du moins au plafond défini par la banque pour la carte) sachant qu’évidement le payement par NFC reste généralement désactivable.

      • GuN

        Oui la limite de paiement est de 20€ en nfc, mais la on parle pour récupérer les numéros de carte (qui eux peuvent servir pour n’importe quel montant sur internet).
        Et même si l’option est désactivable, c’est pas le cas de toutes les banques, et est-ce que ça désactive réellement la puce ou désactive l’option de paiement en NFC? Si ça désactive pas la puce, ça empêche en rien le vol des numéros de cartes

    • Thierry Brez

      la lecture NFC te donne pas le code 3 chiffres du dos ou alors je n’ai pas encore trouvé l’astuce

      • Samsara

        De plus il faut que la carte soit NFC.

  • zzzz

    le nom du logiciel ??

    • TheDeepShadow

      Doux Jésus… -_-

  • [Prydaz]

    je l’ai aperçu il y a 2 jours sur AlphaBay(darknet) pour 1btc .

  • Salva

    c’est sur, il y a pas 15 millions de possibilités entre le cryptogramme à 3 chiffres et la date de validité sur 24 mois, je suis nul en math, quelqu’un fort en proba pourrait nous donner la réponse ?

    • InfinityHD

      1000 possibilités pour le code de sécurité
      * 12 mois * 3ans (nombre d’années de validité des carte bancaire max 3 ans il me semble)

  • Beauceron

    C’est de la d’information ce que vous faites là, c’est dommage parce même si vous arrivez a capté de le signe de la carte ce qui est compliqué il faut se rapprocher dans max 10 cm de la carte pour capté cela, et encore les seules informations contenue dans la puce électronique sont les numéraux de la cartes sans les cryptogrammes, cela sécurise même le piratage.

    • Damian

      Et en français ça donne quoi ?

  • Les cartes Visa ont le système Visa+ qui normalement devrait etre activé par les sites (ce qui force à l’envoi d’un SMS contenant un code de sécurité pour valider l’achat)

    • Kenzaburo

      ça s’appelle le 3d secure et c’est disponible pour toutes les cartes disponibles en France. Cependant les vendeurs ne l’activent pas car celui leur fait perdre des ventes.

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !

La guerre des prix continue chez les opérateurs. Bouygues Telecom vient de passer son forfait B&You offrant 20 Go de data à seulement 9,99€ par mois pendant une durée d’un an au lieu de 24,99€. Soit une économie totale de 180 euros et le tout sans engagement. Un super bon plan à saisir d’urgence !

fad21a3b01a2f23449b7fefaf026f19e;;;;;;;;;;;