Developpez.com

Le Club des Développeurs et IT Pro

Achats en ligne : les cartes Visa sont piratables en 6 secondes via des attaques par force brute

Des tests effectués sur plusieurs sites e-commerce

Le 2016-12-06 15:17:03, par Malick, Community Manager
Au terme d'une étude, des chercheurs de l’Université de Newcastle ont annoncé que sur certains sites d'e-commerce, les cartes Visa utilisées pour les transactions en ligne sont très vulnérables aux attaques par force brute. Dans leur rapport, les chercheurs affirment que les hackers sont en mesure de pirater une carte Visa en seulement 6 secondes.

Selon le rapport, les tests ayant permis aux experts d'en arriver à cette conclusion ont été effectués sur plusieurs sites de commerce en ligne. Pour les besoins de l’étude, les chercheurs ont choisi les 400 meilleurs sites de e-commerce listés par Alexa. Parmi ces derniers, ils en ont retenu 389 pour faire leur étude.

Pour rappel, Alexa est une entreprise basée à San Francisco et très connue dans le domaine de la fourniture de statistiques relatives au trafic du web.

Les chercheurs ont rappelé que pour faire un paiement en ligne via une carte bancaire, il faut au moins saisir trois informations fondamentales en l’occurrence le numéro de la carte, la date de validité et le cryptogramme visuel ou code CVV qui est constitué de trois chiffres. Le cryptogramme visuel se trouve au dos de la carte.

Pour mettre en évidence les failles liées aux paiements en ligne par cartes Visa, les chercheurs ont créé un algorithme qui leur permet de faire des attaques par force brute afin de contourner les mesures de sécurité qui sont censées protéger les achats en ligne. Ils affirment que la date de fin de validité d'une carte Visa ainsi que son cryptogramme visuel peuvent être obtenus à partir du numéro de ladite carte.

Leur mode opératoire consiste à se connecter sur les différents sites d'e-commerce préalablement sélectionnés, et de générer, grâce à leur algorithme, les diverses informations nécessaires pour effectuer un achat en ligne. Selon le rapport, il faut au plus 60 tentatives pour trouver la date d'expiration d'une carte, celle-ci étant généralement limitée à cinq (5) ans.


Les informations générées sont ensuite saisies une à une dans l'interface de règlement de l'achat du site concerné jusqu'à l'obtention d'un résultat favorable, c'est-à-dire l'effectivité d'un règlement.

Dans le rapport, Mohammed Ali, initiateur de l'étude et étudiant en doctorat à l'école d'informatique de l'université de Newcastle soutient que son équipe a exploité des insuffisances qui, prises individuellement, ne constituent pas un danger. Toutefois si elles sont exploitées simultanément, cela constitue une véritable menace pour l'ensemble du système de paiement. Ces insuffisances résultent du fait que les cartes Visa permettent de faire plusieurs tentatives infructueuses à partir de différents sites.

Pour Ali, un pirate a la possibilité d'obtenir toutes les informations essentielles d'une carte Visa pour effectuer un paiement en ligne. Pour cela, il n'a besoin que des six premiers chiffres du numéro de la carte, car ces derniers renseignent sur la banque concernée et le type de carte utilisée.

Mohammed Ali précise également que la méthode de l'attaque par force brute n'est utilisable que dans le réseau Visa. Il soutient que le réseau centralisé de MasterCard a réussi à détecter l'attaque après moins de dix (10) tests qui se sont soldés par des échecs. Par ailleurs, Ali signale que plusieurs sites demandent une confirmation par SMS avant de valider une transaction, cela constitue ainsi un point faible de la méthode (attaque par force brute) qu'ils ont utilisée.

Source : [ATTACH]227142d1/a/a/a" />

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

La banque centrale russe victime d'un piratage et près de 31 millions $ dérobés, une vaste opération de cyberattaque aurait également été déjouée

Avalanche, un botnet responsable de campagnes de phishing et d'une vingtaine de familles de malware
  Discussion forum
29 commentaires
  • sitexw
    Membre régulier
    Tant que l'intégralité des sites marchants ne forceront pas l'utilisation de 3D-Secure, ce genre de bruteforce va pouvoir prospérer.
    Donc Mastercard (qui lui aussi, n'a pas le 3D-Secure chez tous les marchands) a réussi cet exploit par l'opération du saint esprit ?
    Non, simplement qu’avec un peu de bon sens, il bloque après 10 tentatives (tous les marchands confondus).
    Je trouve ça choquant que Visa (qui gère une quantité phénoménale de transaction/argent chaque année) laisse ce genre "faille"...
    le 07/12/2016 à 2:25
  • temoanatini
    Membre averti
    C'est rassurant au moment des achats de Noël...

    Par contre, si ceci est vrai :
    Ils affirment que la date de fin de validité d'une carte Visa ainsi que son cryptogramme visuel peuvent être obtenus à partir du numéro de ladite carte.
    C'est une faute de conception très grave selon moi...

    Sinon, Mohammed Ali <=> force brute ...
    le 07/12/2016 à 9:44
  • TheLastShot
    Membre extrêmement actif
    Oh oui ! Bonne idée ! Payons tout en liquide. Demain je vais me ramener chez mon fournisseur de matériel et je vais acheter un serveur avec mes pièces de monnaie, il va être content le vendeur ! (Et je pense que là, le contact humain il sera dans ma gueule).

    Et puis c'est bien beau de critiquer l'argent électronique mais dis toi que la très grande majorité de l'argent que nous possédons est virtuelle... Au cas où tu n'aurais pas compris les implications de ce que je viens de dire, si on voulait se passer définitivement de l'argent électronique pour ne faire que des transactions en liquide il faudrait réimprimer une colossale quantité de billets et de pièces (je te raconte pas le gaspillage de ressources...).

    Bon après il y a des problèmes d'ordre pratique... Parce qu'autant il n'y a pas de problème pour aller payer son pain à la boulangerie à 50m de chez moi, autant quand je commande un bouquin en import sur internet parce qu'il n'est pas disponible en France, ça risque de me faire en cherche en billet d'avion pour aller payer... (Et même sans aller jusque là, peut importe où tu commande, du moment que c'est par internet t'es un peu obligé d'avoir de l'argent électronique).

    Sinon... "Ca créer de l'emploie" ??? Ah bon ? Tu m'expliques pourquoi ? Tu compte utiliser de l'argent humain au lieu des billets ?

    Pas de risque de dépassement de crédit... En effet... Pour ça t'as aussi la possibilité de faire un compte sans autorisation de dépassement (c'est mon cas, mon compte ne peux pas passer en dessous de 0).

    Mais tu as raison. Vivement la fin du système économique. Revenons en au bon vieux système de troc, je serais ravi que mes clients me paient en poulets. Vu les tarifs je pense qu'avec un seul projet je pourrais me reconvertir dans l'élevage...
    le 07/12/2016 à 1:42
  • robertledoux
    Membre averti
    Tant que l'intégralité des sites marchants ne forceront pas l'utilisation de 3D-Secure, ce genre de bruteforce va pouvoir prospérer.
    le 06/12/2016 à 21:51
  • sitexw
    Membre régulier
    Envoyé par bclinton

    1) comment le hacker obtient-il le numéro de carte bleue ? Il est généré au pif à partir d'un début de numéro qui contient les infos liées à la banque ?
    Via la formule de Luhn, tu peux facilement créer des numéros de carte de crédit. La difficulté réside dans le fait de trouver la date d'expiration et le cryptogramme.
    Et les premiers chiffres correspondent à un réseau bancaire : Issuer Identification Number

    Envoyé par bclinton

    2) la confirmation par SMS, c'est le certicode ? Dan ce ce cas c'est le propriétaire de la carte qui reçoit le SMS. Donc Je ne vois pas comment frauder dans ce cas-là.
    Oui, mais ce n'est qu'un nom, globalement, on appelle ça le 3D-Secure.
    Eh oui, effectivement, ces cartes ne sont pas "cassables/craquables" avec le 3D-Secure si tu n'a pas le téléphone de la victime.

    Envoyé par bclinton

    Dernière remarque : pour un paiement CB au-delà d'une certaine somme (200 € je crois) ma banque m'envoie un SMS avec le montant du paiement. Ceci me permet d'annuler la transaction avant minuit en cas de fraude.
    Pour être exacte, c'est le marchand qui définit s'il veut activer le 3D-Secure. Certains vont l'activer à partir de 1€ quand d'autres vont l'activer à partir de 100 €, voir ne pas l'activer.
    Donc suivant chez qui tu tombes et qu'elle est la méfiance du marchand, tu peux utiliser la carte de crédit.
    le 07/12/2016 à 9:32
  • kiprok
    Membre averti
    Perso ma banque me propose de bloquer ma carte bancaire pour tous les achats internet.

    Lorsque je veux acheter sur le net elle met à disposition un générateur de numéro de carte virtuelle, je fixe le montant que je souhaite mettre sur ladite carte, il y a un toujours la possibilité d'avoir le check via sms (initié par le marchand) lors de l'achat et dès qu'un achat est réalisé chez un marchand la carte n'acceptera pas d'autre boutique pour les achats suivants...

    Je trouve ça pas mal...
    le 07/12/2016 à 10:24
  • herve4
    Membre habitué
    Je ne suis pas expert en sécurité informatique (mais ceci dit j' aimerais bien ;-)).
    Mais n'est il pas possible de limiter le nombre de tentative, comme pour les cartes de crédits (avec l'adresse MAC par exemple) ?
    Le serveur du commercant qui gère la transaction doit pouvoir détecter une tentative de force brute, non ?

    Peut être que la solution est politique, c'est à dire interdire aux sites commerçants des solutions de paiement présentant des risques et les obliger à utiliser des systèmes plus sécurisé genre Paypal ou autres...

    Qu'en pensez vous ?
    le 07/12/2016 à 10:08
  • Bigb
    Membre averti
    D'ou la généralisation de code envoyé par SMS pour des montants supérieurs à 50 euro... Je comprends mieux cette protection maintenant !
    le 07/12/2016 à 10:51
  • fenkys
    Membre éprouvé
    Envoyé par kiprok
    Perso ma banque me propose de bloquer ma carte bancaire pour tous les achats internet.

    Lorsque je veux acheter sur le net elle met à disposition un générateur de numéro de carte virtuelle, je fixe le montant que je souhaite mettre sur ladite carte, il y a un toujours la possibilité d'avoir le check via sms (initié par le marchand) lors de l'achat et dès qu'un achat est réalisé chez un marchand la carte n'acceptera pas d'autre boutique pour les achats suivants...

    Je trouve ça pas mal...
    Cette solution ne marche pas avec un certain nombre d'organisme, comme par exemple la SNCF qui ne te délivrera le billet payé par internet que contre présentation de la carte qui a servi à le payer. Et ils sont nombreux à faire ça, malgré les problèmes évidents que cela pose (comme de ne pas pouvoir toi mème payer un billet de train pour dépanner ta fille qui s'est fait voler son sac lors d'un voyage à l'autre bout de la France)
    le 07/12/2016 à 14:12
  • byrautor
    Membre éclairé
    Moi, parfois, je reçois un code par mon téléphone fixe !
    ça fonctionne.
    Même avec ma carte électronique (n° différent à chaque transaction + 3 chiffres + montant de la transaction ) il m'arrive parfois d'avoir à utiliser, en plus, un code téléphoné par un automate.
    Que faire de plus ?
    le 08/12/2016 à 14:43
  Poster une réponse