dimanche 11 décembre 2016

Achats en ligne : les cartes Visa sont piratables en 6 secondes via des attaques par force brute

Achats en ligne : les cartes Visa sont piratables en 6 secondes via des attaques par force brute

60 tentatives chez Visa avant de se faire jeter, franchement faut pas abuser, en tout cas soyez prévenus, le code CVV et la date d'expiration ne sont plus un souci pour les pirates.

Des tests effectués sur plusieurs sites e-commerce

Au terme d'une étude, des chercheurs de l’Université de Newcastle ont annoncé que sur certains sites d'e-commerce, les cartes Visa utilisées pour les transactions en ligne sont très vulnérables aux attaques par force brute. Dans leur rapport, les chercheurs affirment que les hackers sont en mesure de pirater une carte Visa en seulement 6 secondes.

Selon le rapport, les tests ayant permis aux experts d'en arriver à cette conclusion ont été effectués sur plusieurs sites de commerce en ligne. Pour les besoins de l’étude, les chercheurs ont choisi les 400 meilleurs sites de e-commerce listés par Alexa. Parmi ces derniers, ils en ont retenu 389 pour faire leur étude.

Pour rappel, Alexa est une entreprise basée à San Francisco et très connue dans le domaine de la fourniture de statistiques relatives au trafic du web.

Les chercheurs ont rappelé que pour faire un paiement en ligne via une carte bancaire, il faut au moins saisir trois informations fondamentales, en l’occurrence le numéro de la carte, la date de validité et le cryptogramme visuel ou code CVV qui est constitué de trois chiffres. Le cryptogramme visuel se trouve au dos de la carte.

Pour mettre en évidence les failles liées aux paiements en ligne par cartes Visa, les chercheurs ont créé un algorithme qui leur permet de faire des attaques par force brute afin de contourner les mesures de sécurité qui sont censées protéger les achats en ligne. Ils affirment que la date de fin de validité d'une carte Visa ainsi que son cryptogramme visuel peuvent être obtenus à partir du numéro de ladite carte.

Leur mode opératoire consiste à se connecter sur les différents sites d'e-commerce préalablement sélectionnés, et de générer, grâce à leur algorithme, les diverses informations nécessaires pour effectuer un achat en ligne. Selon le rapport, il faut au plus 60 tentatives pour trouver la date d'expiration d'une carte, celle-ci étant généralement limitée à cinq (5) ans.

Les informations générées sont ensuite saisies une à une dans l'interface de règlement de l'achat du site concerné jusqu'à l'obtention d'un résultat favorable, c'est-à-dire l'effectivité d'un règlement.

Dans le rapport, Mohammed Ali, initiateur de l'étude et étudiant en doctorat à l'école d'informatique de l'université de Newcastle soutient que son équipe a exploité des insuffisances qui, prises individuellement, ne constituent pas un danger. Toutefois si elles sont exploitées simultanément, cela constitue une véritable menace pour l'ensemble du système de paiement. Ces insuffisances résultent du fait que les cartes Visa permettent de faire plusieurs tentatives infructueuses à partir de différents sites.

Pour Ali, un pirate a la possibilité d'obtenir toutes les informations essentielles d'une carte Visa pour effectuer un paiement en ligne. Pour cela, il n'a besoin que des six premiers chiffres du numéro de la carte, car ces derniers renseignent sur la banque concernée et le type de carte utilisée.

Mohammed Ali précise également que la méthode de l'attaque par force brute n'est utilisable que dans le réseau Visa. Il soutient que le réseau centralisé de MasterCard a réussi à détecter l'attaque après moins de dix (10) tests qui se sont soldés par des échecs. Par ailleurs, Ali signale que plusieurs sites demandent une confirmation par SMS avant de valider une transaction, cela constitue ainsi un point faible de la méthode (attaque par force brute) qu'ils ont utilisée.

 

Source : Developpez.com

Informations complémentaires :

Aucun commentaire: