Des chercheurs de l’université de Newcastle ont publié un rapport qui devrait inquiéter un grand nombre de porteurs de carte bleue VISA. Ils ont montré qu’ils pouvaient pirater n’importe quelle carte bancaire en seulement 6 secondes !
6 secondes pour pirater une carte VISA
Ces derniers ont profité d’une double faille dans le système des protocoles de vérification des informations bancaires, avant de valider une transaction. Pour ce faire, ils ont conçu un algorithme capable de tester toutes les combinaisons de date de validité (maximum 60) et toutes les combinaisons des numéros à 3 chiffres (999) par force brute.
Impossible diront certains car après plusieurs tentatives le dispositif de protection bloquerait l’opération et préviendrait la banque d’une utilisation suspecte de la carte. Les chercheurs ont utilisé une première faille en ayant recours à une attaque en cascade. En prenant les 400 plus gros sites de e-commerce dans le monde, ils se sont aperçus qu’il existait une très grande diversité de protocoles d’authentification en plusieurs étapes.
En achetant un fichier pirate contenant un numéro de carte à 16 chiffres, le nom et prénom associés, ils ont renseigné les informations une seule fois, avec une tentative différente par site web, jusqu’à détecter lorsque le système valide l’étape une, pour passer à la suivante avec celle du code. Ils ont renouvelé la méthode pour le numéro à 3 chiffres au dos de la carte.
Les sites nécessitant une adresse postale pour vérifier l’identité de l’utilisateur, n’utilisent généralement que le code postal pour confirmer le lieu de résidence, car l’adresse peut contenir des fautes de frappe ou des abréviations. Un simple logiciel comme BidDb et ExactBins, peut fournir la banque émettrice de la carte à partir du code de la carte bleue. Il est facile de tester moins d’une dizaine de possibilités de code postal, autour de cette ville.
Le bot qu’ils ont conçu est capable de réaliser ces tentatives de piratage en seulement 6 secondes, et les chercheurs ont réalisé un virement à l’étranger, retiré dans un même temps pour montrer qu’en moins de trente minutes, des hackers pouvaient disposer de fonds en liquide, sans que les protections bancaires n’aient rien vu venir.
La seconde faille que nous avons démontré avec cette explication, c’est que VISA est capable de détecter plusieurs essais sur un site, mais ne peut pas repérer un seul essai sur plusieurs sites en même temps. Cette information devrait inquiéter de nombreuses personnes. Du côté des sites web et des banques c’est le branle-bas de combat pour trouver des solutions, sans rendre le processus d’achat trop compliqué, ce qui ferait rater des ventes, par abandon de panier.
