Grâce à un ordinateur portable et une connexion Internet, une personne peut en quelques secondes connaître grâce à un processus d’élimination les données complètes de votre carte. La vidéo ci-dessous montre que 6 secondes suffisent pour révéler le code de sécurité d’une carte.

Le logiciel développé par les chercheurs montre ici que des suppositions réalisées depuis plusieurs sites web différents permet très rapidement de regrouper des informations telles que la date d’expiration, l’adresse du titulaire de la carte ou le cryptogramme.

Une technique qui porte le nom de Distributed Guessing Attack et qui consiste à utiliser des centaines de sites web avec des données de sécurité différentes : les seize chiffres, la date d’expiration et les trois derniers chiffres au dos de la carte. Si une personne dispose du numéro de carte, il pourra très rapidement récupérer les informations manquantes et nécessaires à tout paiement en ligne, à savoir la date d’expiration et le cryptogramme visuel. Il est à noter que certains site internet ne demande pas de cryptogramme.

L’un des chercheurs, Mohammed Aamir Ali, a déclaré que « ce type d’attaque exploite deux faiblesses qui ne sont pas grave en tant que tel mais que lorsqu’elles sont utilisées ensemble cela présente un risque grave pour le système de paiement tout entier ».

La première faiblesse est que le système de paiement ne détecte pas un nombre multiple et simultanée de tentative de paiement depuis différent site web. Or le système de paiement devrait pourtant se bloquer lorsque cela se produit. Un nombre illimité de combinaisons peut ainsi être réalisé afin de pouvoir deviner l’ensemble des données.

Les chercheurs ont en effet découvert que si les suppositions du cryptogramme sont réparties à travers un grand nombre de sites web différents, les systèmes de sécurité de la carte ne sont pas déclenchés et le propriétaire n’est même pas informé qu’une personne malveillante est en train de manipuler sa carte de crédit.

La deuxième faiblesse avancée par le chercheur est que plusieurs sites web demande différentes données de carte à saisir dans des champs différents. Ainsi, il est plus facile de regrouper les informations puis de les assembler comme un puzzle. 

« Le nombre illimité de tentative combiné avec les différents champs de données à saisir de la carte, rendent horriblement facile la génération de tous les détails de la carte, champ après l'autre».

Seulement Visa serait concernée par cette faille de sécurité mais bien qu’ayant été informé de ce sérieux risque, elle aurait déclaré au The Independant que « la recherche ne prend pas en compte les multiples couches de prévention des fraudes qui existent dans le système de paiement dont chacune doit être respectée afin de rendre une transaction possible dans le monde réel ».

L’équipe insiste sur le fait que les cartes de crédit sont un parfait exemple d’une vieille technologie qui persiste encore dans un monde moderne où l’avenir du paiement se trouve dans les smartphones et autres appareils hautement sécurisés.

Vous pouvez ici retrouver le résultat de l'étude menée par l'équipe (version anglaise).

Et vous, seriez-vous prêt à vous séparer de votre carte bancaire et de passer à des systèmes comme Apple Pay et Androïd Wallet qui seront peut-être un jour disponible à l’échelle mondiale ?

Il est toujours bon de surveiller toute activité bancaire suspecte et Avast vous recommande de poursuivre votre lecture avec son article 9 astuces pour acheter en ligne en toute sécurité pendant les fêtes de fin d'année. 

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières nouvelles, n’oubliez pas de nous suivre sur Facebook, Twitter et Google+.