Pirater une carte bancaire demande 6 secondes avec ce nouvel outil

La carte de crédit reste l'élément fondateur de nos solutions de paiement désormais, particulièrement en ligne où tous nos achats passent par celle-ci. Mais de nombreux chercheurs en sécurité viennent de faire une découverte troublante : il est en effet possible de pirater certaines cartes en quelques secondes en ne disposant que de ses numéros de façade.

Chaque jour, les pirates et experts en sécurité informatique nous rappellent à quel point nos informations ne sont pas en sécurité. La carte bancaire classique reste notre moyen de paiement préféré sur internet, mais celle-ci est aujourd'hui mise en péril.

Il faut dire qu'il y a quelque chose de rassurant dans le fait de faire appel à un objet physique pour payer sur le net. Nous avons ainsi l'impression que s'en emparer est plus que difficile, mais il n'en est au final rien : on se rappellera par exemple du casse extraordinaire à 11 millions d'euros réalisé avec des cartes clonées.

Mais il faut évidemment toutes les informations de ces cartes pour pouvoir réaliser ce type d'opération, n'est-ce pas ? Et bien non, comme le prouvent aujourd'hui les chercheurs Mohammed Aamir Ali, Budi Arief, Martin Emms, et Aad van Moorsel, qui ont développé un programme capable de deviner le code de sécurité et la date d'expiration de nombreuses cartes bancaires en quelques secondes.

https://www.youtube.com/watch?v=uwvjZGKwKvY

Il s'agit en réalité d'un bruteforce (un test massif réalisé par un ordinateur en lançant des chiffres au hasard), réalisé contre 400 marchands du net différents, qui leur permet de retrouver ces numéros aisément. Leur solution peut également permettre de retrouver le code postal et l'adresse affiliée à ces cartes du même temps.

Tout ce dont ils ont besoin pour prendre le contrôle total d'une carte est ses numéros. Numéros qui peuvent être acquis de bien des manières, de nombreuses banques de données existant en ligne pour cela ou en utilisant les failles du paiement NFC pour les récupérer dans un environnement proche.

A noter que cette solution ne fonctionne pas contre les cartes MasterCard, qui bloquent l'accès à une carte après 100 essais. Les cartes Visa y sont par contre totalement vulnérables. Tout cela est possible à cause du manque de vérifications faites par les marchands en ligne, qui sont ainsi poussés par les chercheurs à revoir leur sécurité.