Des chercheurs de l’université de Newcastle et de Kent ont démontré que nos cartes bancaires peuvent être piratées en 6 secondes. L’expérience a été réalisée sur une carte Visa.
Il suffit de faire une commande en ligne
Une fois utilisées sur le commerce en ligne, nos cartes bancaires sont exposées à de grands risques de piratage. Pour le démontrer, les chercheurs britanniques ont utilisé la technique de mass guessing qui consiste à deviner toutes les données relatives à une carte bancaire, et son cryptogramme en utilisant son numéro. Pour ce faire, les informaticiens ont mis au point un robot capable de piéger les sites marchands afin de connaître des numéros de carte VISA pour ensuite trouver sa date d’expiration et déterminer son cryptogramme. Puisque les cartes en question ont un délai de validité de 5 ans, les probabilités de le savoir sont réduites à 60 possibilités. Il en est de même pour le cryptogramme qui, composé de code de sécurité à 3 chiffres requiert 1000 tentatives. Pour générer un numéro de carte de paiement, les étudiants ont aussi utilisé les 6 premiers numéros indiquant la banque et le type de carte. Tels numéros sont identiques pour chaque fournisseur.
Les sites ouvrent la porte sur le piratage
Lors d’une transaction en ligne certains sites demandent le numéro de carte, la date de validité ainsi que le CVV tandis que d’autres revendiquent seulement le numéro et sa date d’expiration. Ce manque de communication entre les sites laisse à l’algorithme le champ libre de réaliser les recherches en 6 secondes seulement. Cependant, l’expérience ne fonctionnait que sur les cartes VISA. De plus, les chercheurs ont aussi remarqué que les cartes VISA autorisaient de nombreuses tentatives de paiement infructueuses dès lors qu’elles sont faites depuis des sites différents. En revanche, le réseau MasterCard peut déceler l’anomalie et bloquer l’attaque au bout de 10 tentatives. Cette situation compromet la sécurité de la vente en ligne et celle de la transaction par carte VISA. D’autant plus que ce dernier domine avec 60,5 % de part de marché contre 26,9 % pour Mastercard.
Visa rassure ses clients
La société Visa n’a eu d’autre choix que de réagir à ces révélations. Dans un communiqué cité par The Independent, l’entreprise assure que les chercheurs n’ont pas pris en compte les multiples niveaux de protection existant contre la fraude. La marque affirme être en étroite collaboration avec les émetteurs de carte et les distributeurs pour rendre très difficile l’obtention et l’utilisation illégale des données des cartes bancaires.
Elle rappelle encore aux consommateurs que le premier réflexe à adopter en cas d’utilisation frauduleuse de son numéro de carte bancaire est de le signaler à la banque. En effet, selon la loi en France, en cas de piratage de carte bancaire sur Internet, la banque doit indemniser son client. Au passage, l’entreprise en profite enfin pour vanter son système appelé : Verified by Visa qui est une façon d’obtenir une sécurité supplémentaire lors de ses achats en ligne. Toutefois, il s’agit d’une information dont la crédibilité reste à vérifier.