Dans « Le cave se rebiffe », un film de Gilles Grangier et dialogué par Michel Audiard, sorti en 1961, il fallait investir dans de coûteuses machines et s’appuyer sur les compétences d’un graveur hors pair pour fabriquer de faux billets. Aujourd’hui, un banal ordinateur et une connexion internet suffisent pour pirater des cartes bancaires ! C’est ce qu’ont démontré des scientifiques de l’université de Newcastle, au Royaume-Uni.
Leur prouesse révèle les faiblesses de ce type de cartes. Premièrement, ils n’ont pas eu besoin de recourir à une méthode nécessitant des compétences hors pair. Ils se sont contentés de contourner le système de sécurité de paiement en ligne avec une attaque dite « par force brute ». Ils ont généré des variations de numéros de carte, de dates d’expiration et de cryptogrammes visuels sur différents sites jusqu’à obtenir un bon résultat. C’est l’une des méthodes utilisées pour trouver des mots de passe faibles (comprenant par exemple un prénom) en une poignée de secondes.
Ils ont d’autant plus facilement réussi cet exploit que les 6 premiers numéros des cartes correspondent à la banque et au type de carte. Il ne restait donc qu’à trouver les autres, y compris la date d’expiration et le cryptogramme. Par ailleurs, ces chercheurs savent, comme tout le monde, que les cartes bancaires expirent dans un délai de 60 mois maximum… Un détail d’importance, car il permet de limiter les requêtes sur une courte période.
Dernière lacune, le système de sécurité ne détecte pas toutes les tentatives frauduleuses. Il ne repère les échecs répétés sur une même carte que lorsque des opérations sont faites sur différents sites. Ce n’est pas le cas du réseau MasterCard qui est capable de détecter l’attaque en moins de 10 essais.
Pas de quoi rassurer les possesseurs d’une carte VISA. Ils pourraient être tentés de passer à la concurrence ou d’opter pour une carte bancaire prépayée pour sécuriser ses achats en ligne.
Ce n’est pas la première fois que des chercheurs démontrent le faible niveau de sécurité des cartes… VISA. Fin 2014, des Britanniques avaient prouvé qu’il était possible de détourner de l’argent à cause d’une faille dans le protocole de paiement sans contact (NFC). « Avec un simple téléphone mobile, nous avons créé un terminal de paiement qui pouvait lire une carte à travers un portefeuille. Toutes les vérifications sont effectuées sur la carte et non pas sur le terminal, donc au moment de la transaction, il n’y a rien qui puisse éveiller la suspicion » avaient-ils indiqué.
Philippe Richard
Dans l'actualité