En 2016, l’e-commerce français devrait franchir la barre des 200.000 sites de vente en ligne, ce qui représentera une croissance de plus 16 % par rapport l’année précédent (source: Fevad). Cette multiplication des sites est une bonne nouvelle pour l’économie, mais pas vraiment pour la sécurité des moyens de paiements. Car ces différents sites permettent de manière indirecte de faire fuiter les données sensibles d’une carte bancaire, tel que son cryptogramme visuel (CVV).
En effet, des chercheurs en sécurité de la Newcastle University et de l’University of Kent ont constaté une assez grande disparité dans la validation des données de carte bancaire. La plupart demandent le numéro de carte, la date de validité et le CVV. Mais certains se contentent du numéro de carte et de la date de validité. D’autres, au contraire, réclament en plus un numéro de code postal. L’étude des chercheurs montre qu’en connaissant un numéro de carte bancaire Visa, ces divergences de procédure permettent à un attaquant de deviner tous les autres données en l’espace de quelques secondes seulement.
Pour y arriver, il suffit de tester méthodiquement les différentes possibilités sur les différents sites e-commerce. Une telle attaque par force brute est possible car le nombre de sites et le nombre de tentatives qu’elles autorisent est assez grand. Ainsi, pour deviner la date de validité, l’attaquant se limitera aux sites qui ne demandent que deux données. Il y en a 26 parmi les 400 plus grands sites e-commerce, ce qui est largement suffisant. Il faut au plus soixante essais pour la deviner, car la durée de validité d’une carte bancaire n’excède pas 60 mois, selon les chercheurs.
Ensuite, pour deviner le CCV, l’attaquant se concentre sur les sites qui la réclament. Il y en a 291 parmi les 400 plus grands sites e-commerce, dont 266 qui autorisent au moins 6 tentatives. Là encore, c’est largement suffisant. Un millier d’essais suffisent pour deviner ce petit numéro à trois chiffres. Pour trouver le code postal, en revanche, c’est plus compliqué. Il faut d’abord restreindre l’espace de recherche en identifiant le pays d’émission, ce qui est possible sur des sites tels que www.exactbins.com ou www.bindb.com.
En France, cela donnerait a priori 6.300 codes postaux à vérifier. C’est beaucoup, mais possible, car certains sites e-commerce autorisent un nombre d’essais illimité.
Les chercheurs ont effectué des tests à partir de sept cartes bancaires Visa. Ils ont développé un logiciel qui automatise les essais de validation sur une trentaine de sites e-commerce. Résultat: en partant d’un numéro de carte bancaire, ils réussissent à obtenir toutes les autres informations en moins de… quatre secondes! Cette méthode est donc incroyablement efficace.
Une faille systémique
Plusieurs raisons rendent cette faille de sécurité particulièrement inquiétante. Tout d’abord, il est de moins en moins compliqué pour un pirate d’obtenir des numéros de carte bancaire. Il peut se rendre sur le Darkweb où ils sont vendus par lot. Il peut aussi tenter de les capter dans une foule de gens, grâce à un lecteur NFC. Le pirate peut aussi essayer de générer des numéros au hasard, grâce à l’algorithme de Luhn, utilisé pour une validation strictement mathématique du numéro.
Le second problème est le caractère systémique de cette faille. Elle ne provient pas d’un bug logiciel, mais de la manière dont le paiement en ligne est techniquement organisé, avec sa multitude d’acteurs impliqués: sites e-commerce, passerelle de paiement, réseau de paiement, établissements bancaires.
Ainsi, ce type d’attaque par force brute pourrait être évité si tous les sites réclamaient les mêmes informations. Mais vu le nombre de sites e-commerce, il sera compliqué de mettre tout le monde d’accord.
L’idéal, selon les chercheurs, serait de détecter l’attaque sur un numéro de carte au niveau des réseaux de paiement (Visa, Mastercard, American Express…), car ils sont les seuls à avoir une vision globale des transactions. Chez Mastercard, d’ailleurs, l’attaque ne fonctionne pas. Les chercheurs supposent donc que ce réseau dispose d’un système de détection approprié. Côté utilisateurs, en revanche, il n’y a pas vraiment de solution. Sauf à remplacer sa carte Visa par une carte Mastercard.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.