Comment les chercheurs ont-ils procédé ?
Avec l'augmentation de plus en plus importante de la cybercriminalité, surfer sur le web revient dans un sens à effectuer une veille technologique permanente. Les menaces sont donc importantes et le risque de subir un piratage est toujours aussi grand. Les fraudes relatives au piratage de la carte bancaire ont explosé ces dernières années, en raison de l'accroissement des achats en ligne. Les chercheurs de l'université de Newcastle, au Royaume-Uni, se sont prêtés à un petit exercice, afin de déceler le numéro d'une carte bleue et son cryptogramme.En multipliant les demandes sur différents sites marchands en ligne, ils ont réussi à décrypter les données de la carte bancaire en 6 secondes seulement ! L'objectif de cet exercice était de deviner les numéros exacts d'une carte bancaire Visa. Pas seulement le numéro de la carte qui apparaît sur le devant de celle-ci, mais aussi la véritable date d'expiration et le fameux cryptogramme à l'arrière.
Deux points faibles décelés sur les sites marchands
Afin de récupérer les données exactes d'une carte bleue, ils sont partis des 6 premiers numéros de cette dernière, car ces informations sont identiques pour chaque banque. Comme les cartes, en général, expirent toutes au bout de cinq ans, cela permet d'obtenir une soixantaine de possibilités seulement. Le cryptogramme est par ailleurs lui aussi composé d'un nombre fixe de chiffres, trois en l'occurrence, ce qui ne génère que 1 000 possibilités. Certes, cela permet de frauder la carte, mais comment est-il possible de pouvoir payer via cette carte fraudée sur les sites marchands ?Avant de mettre en place ce procédé, les chercheurs britanniques se sont aperçus qu'il existait deux points faibles sur les services de paiement en ligne. Dans un premier temps, les sites marchands n'exigent pas tous l'ensemble des informations contenues dans une carte bancaire. Dans un deuxième temps, les chercheurs se sont rendu compte que les sites n'échangeaient pas du tout les données entre eux. Ce qui leur a permis de pouvoir déterminer en à peine 6 secondes toutes les informations contenues dans la carte de paiement Visa. Mais cela n'a été possible justement que pour ce type de carte bleue. En effet, le réseau MasterCard n'a pas pu être fraudé, car il a été capable au bout de 10 tentatives de déceler le piratage.