Dix secondes suffisent pour pirater votre carte bancaire

Après plusieurs tentatives sur différents sites, des chercheurs ont fini par trouver un moyen de contourner les systèmes de paiement sécurisés sans la possession d’une carte bancaire physique.
Les cartes bleues ne sont plus en sécurité
Selon les chercheurs de l’université de Newcastle, au Royaume-Uni, les hackers n’ont besoin que d’un accès à internet et d’un simple ordinateur pour pirater un compte bancaire. Et cette opération reste possible même si le malfaiteur ne détient aucun détail sur ce dernier. Les chercheurs ont également publié leur découverte dans le journal académique IEEE Security & Privacy.
D’après leur étude, les hackers qui ont attaqué la filiale bancaire du géant britannique de la distribution Tesco et qui ont fait 20 000 victimes, ont procédé par la même méthode. Cette stratégie consiste en effet à générer de manière répété et continu les variations des différentes informations sécurisées en relation avec les cartes de paiement jusqu’à l’obtention d’un résultat favorable.
Deux petites faiblesses sont à l’origine de la grande perte
C’est ce que l’acteur principal de l’étude, Mohammed Ali, étudiant en doctorat à l’école d’informatique de l’université de Newcastle, a annoncé en expliquant que ce type d’attaque exploite deux faiblesses qui sont largement non-considérées, mais qui présentent de grands risques pour le système de paiement lorsqu’elles sont utilisées simultanément.
Ces études ont également montré que la réussite de l’attaque vient de l’incapacité du système à détecter des échecs répétés sur une même carte sur des sites différents. De plus, les informations requises dans ces sites ne sont pas demandés au même moment. Ce qui donne la possibilité aux pirates de deviner un champ à la fois.
Le déroulement du piratage
Pour procéder au piratage, les hackers se basent sur les six premiers numéros de la carte de paiement qui sont identiques pour chaque fournisseur. Ces chiffres permettent d’identifier la banque correspondant à la carte et d’obtenir les trois informations permettant d’effectuer des achats en ligne.

Vous aimerez aussi...