Comment un hacker peut pirater une carte Visa en 6 secondes
Des chercheurs britanniques ont évalué qu'il suffisait de ce court laps de temps à un pirate déjà en possession du code à 16 chiffres, pour lui permettre de trouver la date de validité et code CVV de ce type de carte.
Comment votre carte Visa peut être piratée en 6 secondes
6 secondes chrono. Si cette accroche ressemble à s'y méprendre avec le titre du thriller de fiction réalisé par Dominic Séna en l'an 2000, elle désigne néanmoins une réalité plutôt inquiétante. Selon quatre chercheurs de l'université de Newcastle au Royaume-Uni – ils viennent de publier une étude sur la sécurité de 400 sites de e-commerce - il suffirait ainsi de 60 dixièmes ou 600 centièmes de secondes à des hackers pour pirater une carte bancaire Visa en ligne.
Comment procéder ? Par élimination. Depuis un simple ordinateur et une connexion internet, le pirate met alors à exécution une méthode intitulée "Distributed Guessing Attack", attaque décentralisée par élimination, que le concurrent direct de Visa, Mastercard, est en mesure de détecter. Le but est simple, tenter, grâce à un logiciel spécialisé, toutes les combinaisons possibles pour trouver la date d'expiration et le code CVV à trois chiffres, le fameux cryptogramme situé au dos de la carte.
Des codes à 16 chiffres disponibles à l'achat
Après avoir entré le code à 16 chiffres, information elle-même piratée et disponible sur le net moyennant (petite) rémunération, il suffit alors d'entrer le mois et l'année de la date de validité de la carte. Etant donné qu'une carte Visa est valable cinq ans, il y a 60 combinaisons susceptibles d'être la bonne. Il faut en compter 1.000 pour le code CVV.
La meilleure façon pour les sites marchands d'endiguer ces piratages, c'est bien de limiter le nombre de tentatives de paiement. Cependant, si les auteurs de l'étude notent que certains parmi les 400 établissements testés en autorisent de 4 à 50 avant d'annuler la transaction et que beaucoup n'ont pas défini de limite.
De son côté, le géant américain assure à The Independant "travailler en étroite relation avec les émetteurs de carte et les distributeurs pour rendre très difficile l'obtention et l'utilisation illégale des données des cartes bancaires". Il rassure également : "La chose la plus importante à se souvenir si le numéro de leur carte bancaire est utilisé frauduleusement est qu'ils sont exemptés de toute responsabilité". Au cours du dernier mois, la banque britannique Tesco, citée dans The Independant, note que cette fraude a affecté 9.000 de ses clients et lui a fait perdre près de 3 millions d'euros.
>> A lire aussi : Au Royaume-Uni, Barclays lance les distributeurs de billets sans cartes