Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Carte bancaire Visa : des informations récupérables par force brute, la société nous répond

Avis aux commerçants : débrouillez-vous !
Internet 7 min
Carte bancaire Visa : des informations récupérables par force brute, la société nous répond
Crédits : Orphanjones (licence CC BY 2.0)

Des chercheurs pointent du doigt un problème concernant les cartes bancaires Visa : il est possible de récupérer la date de fin de validité, le cryptogramme visuel (CVV) et le code postal du propriétaire à partir du numéro de la carte. Interrogé, Visa explique être au courant de cette publication et donne sa version des faits.

Pour payer avec sa carte bancaire sur Internet, il faut généralement saisir trois informations (c'est du moins le cas en France) : son numéro, sa date de fin de validité et le code CVV (aussi appelé cryptogramme visuel), composé de trois chiffres au dos de la carte. Problème : d'après une étude publiée par des chercheurs de l'université de Newcastle en Angleterre, certaines informations peuvent facilement et rapidement être récupérées via une attaque par force brute.

Pour cela, les chercheurs (Mohammed Aamir Ali, Budi Arief, Martin Emms et Aad van Moorsel) expliquent qu'il faut au moins disposer du numéro d'une carte bancaire, ce qui peut être facilité par certaines fuites de données qui font la une de la presse ces derniers temps.

Le numéro de CB suffit pour obtenir date de fin de validité et code CVV

Partant de cette seule information, ils ont trouvé un moyen d'obtenir la date de fin de validité. Pour cela, ils interrogent les systèmes de paiement de différents revendeurs en ligne qui ne demandent que ces deux informations afin de valider une transaction. Ils testent alors toutes les combinaisons : décembre 2016 (12/16), janvier 2017 (01/17), février 2017 (02/17), etc. Si le système retourne une erreur, c'est que la date est mauvaise. Dans le cas contraire, c'est gagné.

Il est alors possible d'obtenir rapidement la bonne combinaison (le mois et l'année) en moins de 60 essais. L'équipe de chercheurs a pris comme limite haute une durée de validité de 5 ans pour les cartes bancaires, soit 60 mois et donc autant (ou aussi peu selon comment on regarde les choses) d'essais. Une fois la date de validité connue, ils peuvent passer à la seconde étape : récupérer de la même manière le cryptogramme visuel ou code CVV.

Pour cela, ils interrogent d'autres revendeurs qui demandent cette fois-ci le numéro de carte, la date de fin de validité ainsi que le code CVV pour valider une transaction. Ils passent alors en revue toutes les possibilités pour ce dernier, sachant qu'il n'y en a finalement qu'un millier : de 000 à 999. Cette opération peut donc être relativement rapide si elle n'est pas bloquée par les serveurs. Par une technique similaire, il est ensuite possible de récupérer le code postal du propriétaire de la carte.

Dans la vidéo ci-dessus, l'outil mis au point par les chercheurs n'a eu besoin que d'une poignée de secondes pour trouver le code CVV d'une carte bancaire à partir de son numéro et de sa date de fin de validité. Nous sommes par contre obligés de les croire sur parole sur la rapidité et sur la véracité de la solution trouvée.

Contrairement à MasterCard, Visa ne bloque pas ce genre d'attaque

Cette technique d'attaque par force brute est possible car, toujours selon les chercheurs, de nombreux sites – y compris de très gros revendeurs – n'imposent aucune limite sur le nombre d'essais, laissant ainsi d'éventuels pirates tester toutes les combinaisons possibles (et il y en a finalement assez peu).

Par exemple, une personne ne disposant que du numéro de la carte bancaire peut obtenir la date de fin de validité, puis le code CVV et enfin le code postal de son propriétaire. Pour les deux premières opérations, seules 1 060 combinaisons sont possibles car il est possible de chercher l'un puis l'autre, alors que ce nombre grimpe à 60 000 (60 x 1 000) s'il fallait trouver en même temps la date et le code CVV.

Toujours selon le constat des chercheurs, Visa ne bloque pas non plus ce genre d'attaque, ce qui est d'autant plus problématique. Une parade relativement simple à implémenter serait donc d'ajouter un nombre de tentatives maximum pour éviter une attaque par force brute. Une solution d'autant plus viable que le principal concurrent de Visa l'aurait mise en place.

L'étude indique en effet que « lorsque l'attaque est appliquée à une carte MasterCard, elle est détectée » et bloquée, y compris si les tentatives sont réparties sur plusieurs revendeurs différents. Pour l'équipe, cela signifie que « les réseaux de paiement ont la capacité de détecter et de prévenir » ce genre de tentative de piratage, au moins chez MasterCard.

Les chercheurs ajoutent avoir contacté 36 boutiques en ligne afin de leur faire part de leur découverte. 12 d'entre elles ne demandaient qu'un numéro de carte bancaire, 12 autres qui nécessitaient en plus de saisir la date de fin de validité de la carte et enfin les 12 dernières obligeaient le client à entrer le code CVV.

Seuls huit d'entre elles ont apporté des modifications suite à ce contact. Suivant les cas, la méthode utilisée est différente : ajouter un champ pour saisir le code postal en plus des autres informations, instaurer des limites pour bloquer les attaques par force brute ou un captcha, par exemple. Il n'en reste pas moins que dans la grande majorité (78 %) rien n'a changé.

VISA CVV Faille

Interrogé, Visa botte en touche

De notre côté, nous avons évidemment contacté Visa afin d'avoir le point de vue de la société sur la question ainsi que sur les actions qu'elle pourrait rapidement mettre en place. Si l'entreprise reconnait évidemment avoir connaissance de cette étude, ses explications restent relativement évasives :

« Cette recherche ne tient pas compte des multiples niveaux de prévention de la fraude qui existent au sein du système de paiements, chacun d'entre eux devant être respecté pour rendre une transaction possible dans le monde réel.

Visa s'engage à maintenir la fraude à un niveau bas et travaille en étroite collaboration avec les émetteurs de cartes et les acquéreurs pour rendre très difficile l'obtention et l'utilisation illégale des données des titulaires de carte. Nous fournissons aux émetteurs les données nécessaires pour prendre des décisions éclairées sur le risque des transactions. Il existe aussi des mesures que les commerçants et les émetteurs peuvent prendre pour contrecarrer les tentatives d'attaques en force.

Pour les consommateurs, la chose la plus importante à retenir est que si leur numéro de carte de paiement est utilisé frauduleusement, ils sont protégés de toute responsabilité.

Visa propose également une sécurité accrue avec Verified by Visa (basé sur la norme 3DSecure) qui offre une meilleure sécurité pour les transactions relatives au commerce électronique. Nous travaillons actuellement pour y intégrer les nouvelles spécifications 3DSecure 2.0, annoncées récemment. Lorsqu'un commerçant choisit de ne pas utiliser Verified by Visa pour une transaction sans carte, il assume le risque de fraude.

Visa se félicite des efforts déployés par l'industrie et les universités pour identifier et traiter les éventuelles vulnérabilités dans le système de paiements. Parallèlement à nos propres contrôles internes et à nos tests, cela permet à Visa et à l'industrie des paiements de rendre les paiements toujours plus sûrs »

Un rappel des protections et des risques, mais pas de plan d'action précis

Nous n'avons donc aucune réponse précise concernant d'éventuelles mesures que Visa pourrait mettre en place pour éviter ce genre d'attaque par force brute, comme le propose notamment MasterCard. S'il existe visiblement des protections permettant de « contrecarrer les tentatives d'attaques en force », elles ne sont pas détaillées et, semble-t-il, trop peu efficaces et /ou mises en place, puisque les chercheurs ont pu les contourner facilement.

Le groupe vante également son service « Verified by Visa », une protection basée sur 3D Secure qui ajoute une étape supplémentaire lors de la validation du paiement, dont la prochaine mouture 2.0 est sur les rails. Pour Visa, si un commerçant en ligne décide de ne pas utiliser cette protection pour une transaction, « il assume le risque de fraude ». Au moins, les choses sont claires pour les boutiques en ligne.

Côté utilisateur, le discours est différent puisque Visa nous explique que ses clients sont protégés contre une utilisation frauduleuse du numéro de leur carte bancaire. Dans tous les cas, activer par défaut une protection qui empêche une attaque par force brute ne pourrait être qu'une bonne chose pour Visa.

En effet, tout renforcement de la sécurité est bon à prendre, aussi bien pour les commerçants que pour les clients, mais rien n'est précisé sur ce point dans la réponse officielle de Visa. Dommage.

117 commentaires
Avatar de koocotte Abonné
Avatar de koocottekoocotte- 06/12/16 à 09:08:08

Signaler ce commentaire aux modérateurs :

Les systèmes bancaires ne communiques jamais sur les protections mises en place; ils estiment que ça facilite les attaques. La réponse de VISA n'est pas étonnante.

Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 06/12/16 à 09:08:35

Signaler ce commentaire aux modérateurs :

ils peuvent tester plusieurs centaines de cvv sans être bloqué, ça fait envie

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 06/12/16 à 09:16:34

Signaler ce commentaire aux modérateurs :

La réponse de Visa certifié AOP 100% pur bullshit 

Avatar de Obidoub Abonné
Avatar de ObidoubObidoub- 06/12/16 à 09:17:38

Signaler ce commentaire aux modérateurs :

Ce que je vais dire va peut-être paraître idiot, mais il faut disposer des chiffres d'une carte VISA pour pouvoir faire cette attaque, ce qui limite quand même l'ampleur. Bon après j'imagine que ça peut servir dans le cas des piratages, même si les attaquants ne récupèrent que les chiffres, ils sont alors en mesure de générer des informations manquantes.

Édité par Obidoub le 06/12/2016 à 09:18
Avatar de Burn2 Abonné
Avatar de Burn2Burn2- 06/12/16 à 09:19:46

Signaler ce commentaire aux modérateurs :

"C'est pas grave on rembourse".

Le monde actuel est vraiment génial... Entre ça et la norme SEPA permettant le prélèvement de base si la banque ne met pas en place une liste blanche (c'est au choix de la banque... Black list ou autre ou rien... ).

Édité par Burn2 le 06/12/2016 à 09:21
Avatar de linkin623 Abonné
Avatar de linkin623linkin623- 06/12/16 à 09:21:43

Signaler ce commentaire aux modérateurs :

Pour résumer :

  • d'un numéro de CB volé, on peut déduire la date d'expiration (60 mois)

  • avec ça, on force les 999 possibilités du CVV

  • et là ça fait des chocapic

    Et la réponse de VISA, du bon gros "la sécurité par le secret et à la dissimulation des protections". Faut arrêter les gens, le seul critère qui vaille c'est le coût annuel de la fraude.
    Tant qu'il n'est pas trop important, rien ne changera.

    Bref, il ne reste que le 3D secure et l'association avec un numéro de téléphone. De l'authentification en deux étapes en somme.

Avatar de Guimareshh INpactien
Avatar de GuimareshhGuimareshh- 06/12/16 à 09:22:12

Signaler ce commentaire aux modérateurs :

Il faudrait aussi préciser que pour la plupart des paiements en ligne il y a un système de code envoyé par SMS. C'est ce que j'ai lorsque je réalise un paiement avec ma carte Visa. Donc la personne a beau disposé du CVV, la finalisation du paiement est impossible.

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 06/12/16 à 09:24:50

Signaler ce commentaire aux modérateurs :

La confirmation par SMS, c'est comme les antibiotiques : c'est pas automatique.

Avatar de egoz INpactien
Avatar de egozegoz- 06/12/16 à 09:25:38

Signaler ce commentaire aux modérateurs :

J'ai jamais vraiment compris l’intérêt de cette histoire de 3D secure... C'est bien au choix du site marchand non ? Y'a plein de sites ou on peut payer sans ... Du coup l'intérêt est super limité 

Avatar de anonyme_751eb151a3e6ce065481d43bf0d18298 INpactien

Signaler ce commentaire aux modérateurs :

Ça conforte bien l'idée qu'ils s'en foutent royalement de la sécurité. C'était déjà les mêmes réponses avec les puces sans contact.

Et ce ne sont pas les banques qui vont demander quoi que ce soit, déjà quand tu demandes une carte sans puce sans contact, ils te prennent clairement pour un paranoïaque, avec les mêmes réponses que Visa "mais il y a des assurances monsieur".

Il n'est plus possible de commenter cette actualité.
Page 1 / 12