Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Achats en ligne : les cartes Visa sont piratables en 6 secondes via des attaques par force brute
Des tests effectués sur plusieurs sites e-commerce

Le , par Malick

14PARTAGES

12  0 
Au terme d'une étude, des chercheurs de l’Université de Newcastle ont annoncé que sur certains sites d'e-commerce, les cartes Visa utilisées pour les transactions en ligne sont très vulnérables aux attaques par force brute. Dans leur rapport, les chercheurs affirment que les hackers sont en mesure de pirater une carte Visa en seulement 6 secondes.

Selon le rapport, les tests ayant permis aux experts d'en arriver à cette conclusion ont été effectués sur plusieurs sites de commerce en ligne. Pour les besoins de l’étude, les chercheurs ont choisi les 400 meilleurs sites de e-commerce listés par Alexa. Parmi ces derniers, ils en ont retenu 389 pour faire leur étude.

Pour rappel, Alexa est une entreprise basée à San Francisco et très connue dans le domaine de la fourniture de statistiques relatives au trafic du web.

Les chercheurs ont rappelé que pour faire un paiement en ligne via une carte bancaire, il faut au moins saisir trois informations fondamentales en l’occurrence le numéro de la carte, la date de validité et le cryptogramme visuel ou code CVV qui est constitué de trois chiffres. Le cryptogramme visuel se trouve au dos de la carte.

Pour mettre en évidence les failles liées aux paiements en ligne par cartes Visa, les chercheurs ont créé un algorithme qui leur permet de faire des attaques par force brute afin de contourner les mesures de sécurité qui sont censées protéger les achats en ligne. Ils affirment que la date de fin de validité d'une carte Visa ainsi que son cryptogramme visuel peuvent être obtenus à partir du numéro de ladite carte.

Leur mode opératoire consiste à se connecter sur les différents sites d'e-commerce préalablement sélectionnés, et de générer, grâce à leur algorithme, les diverses informations nécessaires pour effectuer un achat en ligne. Selon le rapport, il faut au plus 60 tentatives pour trouver la date d'expiration d'une carte, celle-ci étant généralement limitée à cinq (5) ans.


Les informations générées sont ensuite saisies une à une dans l'interface de règlement de l'achat du site concerné jusqu'à l'obtention d'un résultat favorable, c'est-à-dire l'effectivité d'un règlement.

Dans le rapport, Mohammed Ali, initiateur de l'étude et étudiant en doctorat à l'école d'informatique de l'université de Newcastle soutient que son équipe a exploité des insuffisances qui, prises individuellement, ne constituent pas un danger. Toutefois si elles sont exploitées simultanément, cela constitue une véritable menace pour l'ensemble du système de paiement. Ces insuffisances résultent du fait que les cartes Visa permettent de faire plusieurs tentatives infructueuses à partir de différents sites.

Pour Ali, un pirate a la possibilité d'obtenir toutes les informations essentielles d'une carte Visa pour effectuer un paiement en ligne. Pour cela, il n'a besoin que des six premiers chiffres du numéro de la carte, car ces derniers renseignent sur la banque concernée et le type de carte utilisée.

Mohammed Ali précise également que la méthode de l'attaque par force brute n'est utilisable que dans le réseau Visa. Il soutient que le réseau centralisé de MasterCard a réussi à détecter l'attaque après moins de dix (10) tests qui se sont soldés par des échecs. Par ailleurs, Ali signale que plusieurs sites demandent une confirmation par SMS avant de valider une transaction, cela constitue ainsi un point faible de la méthode (attaque par force brute) qu'ils ont utilisée.

Source : [ATTACH]227142d1/a/a/a" />

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

La banque centrale russe victime d'un piratage et près de 31 millions $ dérobés, une vaste opération de cyberattaque aurait également été déjouée

Avalanche, un botnet responsable de campagnes de phishing et d'une vingtaine de familles de malware

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de sitexw
Membre régulier https://www.developpez.com
Le 07/12/2016 à 2:25
Tant que l'intégralité des sites marchants ne forceront pas l'utilisation de 3D-Secure, ce genre de bruteforce va pouvoir prospérer.
Donc Mastercard (qui lui aussi, n'a pas le 3D-Secure chez tous les marchands) a réussi cet exploit par l'opération du saint esprit ?
Non, simplement qu’avec un peu de bon sens, il bloque après 10 tentatives (tous les marchands confondus).
Je trouve ça choquant que Visa (qui gère une quantité phénoménale de transaction/argent chaque année) laisse ce genre "faille"...
7  0 
Avatar de temoanatini
Membre averti https://www.developpez.com
Le 07/12/2016 à 9:44
C'est rassurant au moment des achats de Noël...

Par contre, si ceci est vrai :
Ils affirment que la date de fin de validité d'une carte Visa ainsi que son cryptogramme visuel peuvent être obtenus à partir du numéro de ladite carte.
C'est une faute de conception très grave selon moi...

Sinon, Mohammed Ali <=> force brute ...
7  0 
Avatar de TheLastShot
Membre extrêmement actif https://www.developpez.com
Le 07/12/2016 à 1:42
Oh oui ! Bonne idée ! Payons tout en liquide. Demain je vais me ramener chez mon fournisseur de matériel et je vais acheter un serveur avec mes pièces de monnaie, il va être content le vendeur ! (Et je pense que là, le contact humain il sera dans ma gueule).

Et puis c'est bien beau de critiquer l'argent électronique mais dis toi que la très grande majorité de l'argent que nous possédons est virtuelle... Au cas où tu n'aurais pas compris les implications de ce que je viens de dire, si on voulait se passer définitivement de l'argent électronique pour ne faire que des transactions en liquide il faudrait réimprimer une colossale quantité de billets et de pièces (je te raconte pas le gaspillage de ressources...).

Bon après il y a des problèmes d'ordre pratique... Parce qu'autant il n'y a pas de problème pour aller payer son pain à la boulangerie à 50m de chez moi, autant quand je commande un bouquin en import sur internet parce qu'il n'est pas disponible en France, ça risque de me faire en cherche en billet d'avion pour aller payer... (Et même sans aller jusque là, peut importe où tu commande, du moment que c'est par internet t'es un peu obligé d'avoir de l'argent électronique).

Sinon... "Ca créer de l'emploie" ??? Ah bon ? Tu m'expliques pourquoi ? Tu compte utiliser de l'argent humain au lieu des billets ?

Pas de risque de dépassement de crédit... En effet... Pour ça t'as aussi la possibilité de faire un compte sans autorisation de dépassement (c'est mon cas, mon compte ne peux pas passer en dessous de 0).

Mais tu as raison. Vivement la fin du système économique. Revenons en au bon vieux système de troc, je serais ravi que mes clients me paient en poulets. Vu les tarifs je pense qu'avec un seul projet je pourrais me reconvertir dans l'élevage...
7  1 
Avatar de robertledoux
Membre habitué https://www.developpez.com
Le 06/12/2016 à 21:51
Tant que l'intégralité des sites marchants ne forceront pas l'utilisation de 3D-Secure, ce genre de bruteforce va pouvoir prospérer.
3  0 
Avatar de sitexw
Membre régulier https://www.developpez.com
Le 07/12/2016 à 9:32
Citation Envoyé par bclinton Voir le message

1) comment le hacker obtient-il le numéro de carte bleue ? Il est généré au pif à partir d'un début de numéro qui contient les infos liées à la banque ?
Via la formule de Luhn, tu peux facilement créer des numéros de carte de crédit. La difficulté réside dans le fait de trouver la date d'expiration et le cryptogramme.
Et les premiers chiffres correspondent à un réseau bancaire : Issuer Identification Number

Citation Envoyé par bclinton Voir le message

2) la confirmation par SMS, c'est le certicode ? Dan ce ce cas c'est le propriétaire de la carte qui reçoit le SMS. Donc Je ne vois pas comment frauder dans ce cas-là.
Oui, mais ce n'est qu'un nom, globalement, on appelle ça le 3D-Secure.
Eh oui, effectivement, ces cartes ne sont pas "cassables/craquables" avec le 3D-Secure si tu n'a pas le téléphone de la victime.

Citation Envoyé par bclinton Voir le message

Dernière remarque : pour un paiement CB au-delà d'une certaine somme (200 € je crois) ma banque m'envoie un SMS avec le montant du paiement. Ceci me permet d'annuler la transaction avant minuit en cas de fraude.
Pour être exacte, c'est le marchand qui définit s'il veut activer le 3D-Secure. Certains vont l'activer à partir de 1€ quand d'autres vont l'activer à partir de 100 €, voir ne pas l'activer.
Donc suivant chez qui tu tombes et qu'elle est la méfiance du marchand, tu peux utiliser la carte de crédit.
3  0 
Avatar de kiprok
Membre averti https://www.developpez.com
Le 07/12/2016 à 10:24
Perso ma banque me propose de bloquer ma carte bancaire pour tous les achats internet.

Lorsque je veux acheter sur le net elle met à disposition un générateur de numéro de carte virtuelle, je fixe le montant que je souhaite mettre sur ladite carte, il y a un toujours la possibilité d'avoir le check via sms (initié par le marchand) lors de l'achat et dès qu'un achat est réalisé chez un marchand la carte n'acceptera pas d'autre boutique pour les achats suivants...

Je trouve ça pas mal...
3  0 
Avatar de herve4
Membre habitué https://www.developpez.com
Le 07/12/2016 à 10:08
Je ne suis pas expert en sécurité informatique (mais ceci dit j' aimerais bien ;-)).
Mais n'est il pas possible de limiter le nombre de tentative, comme pour les cartes de crédits (avec l'adresse MAC par exemple) ?
Le serveur du commercant qui gère la transaction doit pouvoir détecter une tentative de force brute, non ?

Peut être que la solution est politique, c'est à dire interdire aux sites commerçants des solutions de paiement présentant des risques et les obliger à utiliser des systèmes plus sécurisé genre Paypal ou autres...

Qu'en pensez vous ?
1  0 
Avatar de Bigb
Membre averti https://www.developpez.com
Le 07/12/2016 à 10:51
D'ou la généralisation de code envoyé par SMS pour des montants supérieurs à 50 euro... Je comprends mieux cette protection maintenant !
1  0 
Avatar de fenkys
Membre éprouvé https://www.developpez.com
Le 07/12/2016 à 14:12
Citation Envoyé par kiprok Voir le message
Perso ma banque me propose de bloquer ma carte bancaire pour tous les achats internet.

Lorsque je veux acheter sur le net elle met à disposition un générateur de numéro de carte virtuelle, je fixe le montant que je souhaite mettre sur ladite carte, il y a un toujours la possibilité d'avoir le check via sms (initié par le marchand) lors de l'achat et dès qu'un achat est réalisé chez un marchand la carte n'acceptera pas d'autre boutique pour les achats suivants...

Je trouve ça pas mal...
Cette solution ne marche pas avec un certain nombre d'organisme, comme par exemple la SNCF qui ne te délivrera le billet payé par internet que contre présentation de la carte qui a servi à le payer. Et ils sont nombreux à faire ça, malgré les problèmes évidents que cela pose (comme de ne pas pouvoir toi mème payer un billet de train pour dépanner ta fille qui s'est fait voler son sac lors d'un voyage à l'autre bout de la France)
1  0 
Avatar de byrautor
Membre averti https://www.developpez.com
Le 08/12/2016 à 14:43
Moi, parfois, je reçois un code par mon téléphone fixe !
ça fonctionne.
Même avec ma carte électronique (n° différent à chaque transaction + 3 chiffres + montant de la transaction ) il m'arrive parfois d'avoir à utiliser, en plus, un code téléphoné par un automate.
Que faire de plus ?
1  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web