AVIS D’EXPERT – Les spécialistes estiment qu’une carte de paiement peut être piratée en six secondes seulement. Les résultats d’une étude publiée par NordVPN, portant sur 4 millions de cartes bancaires provenant de 140 pays, montrent que la technique la plus courante pour les pirater est l’attaque par force brute. Cette méthode est incroyablement rapide puisqu’elle peut être exécutée en quelques secondes comme l’explique explique Marijus Briedis, directeur technique de NordVPN.
Pour qu’un nombre aussi élevé de cartes bancaires apparaissent sur la Dark Web, les cybercriminels ont très probablement utilisé l’attaque par force brute. Le principe est simple, il faut deviner le numéro de carte et le numéro CVC, composé de 3 chiffres au dos de votre carte. Et la tâche n’est pas si compliquée qu’il n’y paraît, car les 6 ou 8 premiers chiffres sur votre carte correspondent à son émetteur. Il ne reste donc que 7 à 9 chiffres à déterminer, car le 16ème et dernier chiffre est un code d’authenticité qui permet de vérifier que la saisie est correcte grâce à l’algorithme de Luhn. En utilisant un ordinateur, une attaque comme celle-ci peut prendre seulement six secondes.
Comment fonctionnent les attaques par force brute ?
Lors d’une attaque par force brute, un hacker essaie rapidement de deviner le bon mot de passe, le bon code PIN ou, dans ce cas, les bons numéros de carte de crédit. Elle ne requiert pas de compétences intellectuelles ni d’algorithmes complexes : il s’agit simplement d’un jeu de devinettes. Cependant, l’attaque nécessite certaines ressources : du temps, de la puissance de calcul et un type particulier de logiciel utilisé par les criminels.
« Un ordinateur doit, pour deviner les neuf chiffres nécessaires d’un numéro de carte complet, essayer un milliard de combinaisons. Cela ne prend qu’une minute pour un ordinateur ordinaire, qui est capable de tester environ 25 milliards de combinaisons par heure. Toutefois, selon l’émetteur de la carte, un escroc peut n’avoir besoin que de sept chiffres pour faire une supposition correcte. Dans ce cas, six secondes suffisent », explique Marijus Briedis.
La plupart des émetteurs de cartes limitent le nombre de tentatives de saisie que vous pouvez faire dans un court laps de temps afin d’éviter ce type d’attaques, mais les criminels trouvent des moyens de contourner ces restrictions. Mastercard, par exemple, dispose d’un système d’authentification centralisé. Un criminel ne peut donc essayer qu’une dizaine de fois avec un même numéro avant que le système centralisé de Mastercard ne le détecte. Dans le cas du système de sécurité de Visa, un malfaiteur peut essayer 30 à 40 fois, voire plus. Et s’il choisit le bon moment de la journée, quand il y a beaucoup de monde, il peut essayer beaucoup plus de fois parce que le système est décentralisé.
C’est pourquoi plus de la moitié (2 524 142) des cartes bancaires étudiées étaient des cartes Visa, suivies des cartes Mastercard (1 602 248) et American Express (215 971).
Comment se protéger ?
Les utilisateurs ne peuvent pas faire grand-chose pour se protéger complètement de cette menace, sauf peut-être s’abstenir d’utiliser leur carte. L’important est donc de rester vigilant. Passez en revue votre relevé de compte mensuel pour détecter toute activité suspecte et répondez rapidement et sérieusement à toute notification de votre banque indiquant une potentielle utilisation frauduleuse de votre carte. Nous vous recommandons également d’avoir un compte bancaire séparé selon vos besoins et de ne conserver que de petites sommes d’argent sur celui qui est relié à vos cartes de crédit. Certaines banques proposent également des cartes virtuelles temporaires que vous pouvez utiliser si vous ne vous sentez pas en sécurité lors de vos achats en ligne.
