Il suffit de 4 secondes pour hacker votre carte VISA

VISA est souvent pris pour cible par les hackers, mais également par les chercheurs en sécurité. Une équipe constituée de plusieurs experts travaillant pour les universités de Newcastle et de Kent vient d’ailleurs de mettre au point une nouvelle technique de piratage particulièrement efficace, une technique qui n’a besoin que de quatre secondes pour hacker les cartes de l’entreprise.

Fondée en 1958, VISA est une entreprise un peu particulière. Elle se compose en effet de plusieurs milliers de sociétés financières et notamment de banques ou encore de sociétés de crédit.

VISA Hack

Votre carte VISA n’est pas aussi sécurisée que vous le pensez.

Elle a pris beaucoup d’importance au fil des années et on estimait ainsi le nombre de cartes en circulation à un demi-million en 2013 et… en Europe.

VISA compte un demi-million de cartes en Europe

Comme toutes les entreprises du secteur, VISA a profité de l’explosion du web et de l’e-commerce. Chaque semaine, des millions d’internautes utilisent ainsi leur carte pour procéder à des achats en ligne. Afin d’éviter l’écueil, l’entreprise a investi beaucoup d’argent afin de sécuriser ces opérations et elle a ainsi mis en place plusieurs protections afin d’éviter que ses cartes ne soient piratées.

Les mesures prises ne sont visiblement pas suffisantes.

Comme indiqué un peu plus haut, une équipe constituée de chercheurs des universités de Newcastle et de Kent a effectivement mis au point une nouvelle technique de piratage extrêmement efficace. Et encore, ce n’est rien de le dire, car cette méthode permet de trouver la date de validité d’une carte et son cryptogramme visuel à partir de son numéro, le tout en une poignée de secondes.

Si vous avez déjà commandé en ligne, alors vous savez sans doute que les sites appliquent différentes méthodes pour valider les données de cartes bancaires. Certains demandent simplement le numéro de carte et sa date de validité, d’autres exigent en plus de connaître le cryptogramme ou même le code postal de l’utilisateur pour valider les paiements.

Ce sont précisément ces différentes procédures qui ont permis aux chercheurs de mettre au point leur méthode.

Une méthode assez simple à mettre en place au demeurant. Elle s’appuie sur plusieurs étapes différentes. Pour commencer, le programme lancera des attaques en brute force sur les sites demandant uniquement le numéro de la carte et sa date de validité pour deviner la durée de validité de la carte, une durée qui ne peut de toute façon pas excéder les 60 mois.

Une attaque qui fonctionne en brute force

Une fois la date en poche, le programme ira attaquer d’autres sites (toujours en brute force) afin de déterminer le cryptogramme de la carte. Quelques centaines d’essais suffiront puisque ce fameux code se compose de seulement trois chiffres.

Et pour le code postal, alors ? Il faudra commencer par identifier le pays d’émission de la carte en se rendant sur des services dédiés. Ensuite, le programme testera tous les codes postaux sur les sites qui les demandent, toujours en brute force.

Les chercheurs ont testé leur méthode sur sept cartes bancaires différentes. Le programme n’a eu besoin que de quatre secondes pour trouver toutes les informations associées à leur numéro.

Cette faille est particulièrement préoccupante, d’autant qu’il suffit désormais de se rendre sur le darknet pour trouver et acheter des centaines de numéros de cartes bancaires.

Il y a tout de même un détail intéressant. Les chercheurs ont tenté la même opération avec une Mastercard, sans succès. L’opération n’a pas abouti. Ils pensent donc que l’entreprise a mis en place un système de détection sur son réseau et il suffirait donc que VISA en fasse tout autant de son côté pour rendre cette attaque inopérante.