Points de vue

Ce qu’il faut savoir sur le numéro CVV au dos de votre carte bancaire

Kevin Townsend, 11 décembre 2019

Attention : le code de vérification de votre carte bancaire ne devrait jamais être conservé en ligne.

Avec les fêtes, c’est la saison des achats en ligne et donc des fraudes à la carte bancaire. Avant, les criminels utilisaient des cartes de paiement volées ou clonées en personne, et effectuaient des transactions frauduleuses lorsque la carte était présentée au marchand (CP, pour « Carte Présente »). L'introduction des cartes à puce Europay, Mastercard et Visa (EMV) a changé la donne. La fraude par CP s'est compliquée.

Les criminels sont donc passés à la fraude par carte non présente (CNP, pour « Carte Non Présente »), c'est-à-dire à la fraude en ligne. On peut voler de nombreux détails de cartes à des détaillants en ligne, puis les utiliser pour acheter des articles chez d'autres détaillants. Mais cela ne devrait pas être aussi simple, car les cartes comportent un numéro distinct connu sous le nom de « code CVV » (valeur de vérification de la carte).

Il s'agit d'un numéro unique à trois chiffres (en général) ou à quatre chiffres (sur les cartes American Express) imprimé sur la carte. S’il est nécessaire au succès d’une transaction, il ne doit jamais être conservé en ligne. Il vise à prouver au détaillant que le client est bien en possession de la carte.

Malheureusement, de nombreuses informations de cartes bancaires (« fullz ») sont en vente sur le dark Web. Un « fullz » est un package vendu illégalement, regroupant les informations requises pour réaliser une transaction en ligne, et notamment le numéro CVV.

Mais comment les criminels obtiennent-ils ces numéros qui ne doivent jamais être conservés sur Internet ?

Protection du CVV

Les détails de votre carte sont principalement protégés par la norme de sécurité de l’industrie des cartes de paiement (Payment Card Industry Data Security Standard ou PCI DSS, ou juste PCI). Toute entreprise acceptant les paiements par carte doit requérir une carte conforme :

« Après l’autorisation de paiement, ne laissez pas le navigateur conserver le code ou la valeur de vérification de votre carte (numéro à trois ou quatre chiffres imprimé sur votre carte afin de vérifier les transactions sans carte). »

La norme PCI n’est pas infaillible. On dit qu’aucun détaillant ou commerçant conforme à la norme PCI n'a jamais été compromis. C'est peut être le cas, mais la conformité à la norme n’est évaluée et confirmée qu’une fois par an. Une entreprise techniquement conforme peut donc ne pas l’être les 364 autres jours de l'année.

Le rapport 2019 de Verizon sur la sécurité des paiements fait trois observations intéressantes. Premièrement, dans l’enquête sur les violations de cartes de paiement au cours de la dernière année, aucune entreprise n'était conforme à la norme PCI au moment de la violation. Ensuite, de plus en plus d'entreprises sont conformes à la norme. Et enfin, le nombre d'entreprises restant conformes tout au long de l'année diminue. Seulement 37 % de ces entreprises ont réussi à maintenir leur conformité PCI tout au long de l'année 2018.

Certains numéros CVV vendus sur le dark Web (sous forme de fullz) ont été volés dans des bases de données en ligne, mais cela reste rare. Nous devons chercher la source de ces fraudes ailleurs : les attaques de malware contre des PC individuels et les attaques de type Magecart contre les détaillants et les commerçants.

Vol de CVV

Attaques contre les utilisateurs de PC

On distingue quatre principales attaques de logiciels malveillants (malwares) sur PC, conçues pour voler les détails de carte de crédit : les e-mails de phishing, les infostealers, les enregistreurs de frappe et les malwares s’infiltrant dans les navigateurs.

Le phishing s’appuie sur l’ingénierie sociale pour persuader les utilisateurs de visiter un site Web malveillant. Il peut s’agir d'un lien déguisé dans l'e-mail, d’un lien vers un site Web similaire mais frauduleux, ou d’un lien intégré dans une pièce jointe. Lorsque l'utilisateur se rend sur un faux site Web frauduleux, l’ingénierie sociale est utilisée de façon plus approfondie pour persuader la victime de saisir les détails de sa carte, afin de les capturer et de les envoyer au criminel.

Les enregistreurs de frappe comprennent divers logiciels malveillants sophistiqués pour surveiller des déclencheurs (tels que l'accès à un site bancaire ou à un grand détaillant) et capturer les touches tapées sur le clavier. Tous les détails de la carte sont alors reconnus, enregistrés et envoyés au criminel.

L’attaque par infostealers est très rapide (comme si le voleur cassait votre fenêtre pour s’emparer de quelque chose puis s’enfuyait). Lorsqu’un PC est infecté, le malware analyse le système et vole toutes les données confidentielles qu’il y trouve (notamment les détails de paiement). Cela ne prend que quelques secondes. Les infostealers les plus tenaces peuvent également déposer un enregistreur de frappe pour opérer à plus long terme.

Les malwares s’infiltrant dans les navigateurs se concentrent généralement sur une ou deux des principales banques nationales ou grands détaillants. Lorsqu'ils détectent que l'utilisateur visite l'un de ces sites, ils superposent leur propre copie du formulaire de connexion de la banque ou du formulaire de détails de paiement du détaillant. Les données saisies dans ces formulaires sont alors capturées et envoyées au criminel. S’affiche ensuite un faux message d'erreur demandant à l'utilisateur d’actualiser la page et de réessayer. L'utilisateur termine alors la transaction avec succès et ne saura peut-être jamais que les détails de sa carte viennent d’être volés.

Derrière toutes ces attaques, le principe clé est que les détails de la carte (y compris le numéro CVV) peuvent être volés directement à l'utilisateur, s’ils ne sont pas chiffrés. En termes criminels, cela représente beaucoup d’efforts pour un retour limité (un PC à la fois). Il est donc peu probable que ces attaques génèrent à elles seules le volume de fullz disponible sur le Web. Dans un futur proche, de telles attaques devraient toutefois se multiplier avec le développement des malwares en tant que service. Ceux-ci requièrent beaucoup moins d’efforts et met les malwares à la disposition des criminels en herbe aux capacités techniques limitées.

Pour la plupart des vols de code CVV, il faut se pencher sur les attaques de type Magecart contre les détaillants.

Magecart

À l’origine, le terme « Magecart » servait à désigner un gang cybercriminel réalisant un type d'attaque spécifique. L’attaque consiste à accéder au système de paiement d'un détaillant, puis à utiliser des logiciels malveillants pour effacer les détails de la carte en temps réel lorsqu'ils sont saisis pour effectuer un achat. Ce type d'attaque est appelé « écrémage Web ». Il s’agit de voler les détails d’une carte de paiement avant qu’ils ne soient chiffrés par le détaillant. L'utilisateur et le détaillant ne se rendront compte de rien tant que le logiciel malveillant n’aura pas été découvert.

Cette méthode d'attaque a ensuite été copiée par de nombreux autres gangs criminels, et le terme Magecart fait désormais référence au style d'attaque plutôt qu'à un gang particulier. On estime qu’il existe plus d’une douzaine de gangs cybercriminels Magecart. Ils ont été nommés selon leur ordre de découverte : Magecart 1, Magecart 2, Magecart 3, etc.

Certains des gangs qui opèrent derrière ces différents groupes sont des cybercriminels de longue date et tristement célèbres. Par exemple, Magecart 5 serait le gang Carbanak, qui a perpétré certains des plus importants vols en ligne de ces dernières années. Ce groupe serait également à l’origine du piratage Magecart de Ticketmaster.

La violation de données chez Ticketmaster en 2018 correspond à une attaque à travers la chaîne d'approvisionnement. Magecart 5 a d'abord compromis Inbenta, un fournisseur de logiciels tiers de Ticketmaster. De là, il ajoutait son propre code à un code JavaScript personnalisé, utilisé dans le processus de réception de paiement de Ticketmaster. Le script a été téléchargé et utilisé, volant près de 40 000 détails de paiement d’utilisateurs.

Les attaques à travers la chaîne d'approvisionnement sont souvent utilisées dans les attaques Magecart, mais non déterminantes. En 2019, une attaque Magecart a compromis une plateforme de commerce électronique (PrismWeb) desservant les magasins de campus universitaires des États-Unis et du Canada. Le code d'écrémage malveillant avait été injecté dans les bibliothèques JavaScript utilisées par les magasins. Plus de 200 magasins de campus dans 176 universités des États-Unis et 21 du Canada ont ensuite été infectés.

En 2018, l’attaque contre British Airways n'était pas une attaque à travers la chaîne d'approvisionnement, malgré l’utilisation de l’approche d'écrémage Web de Magecart. « Magecart a mis en place une infrastructure personnalisée et ciblée pour se fondre dans le site Web de British Airways et éviter d’être détecté le plus longtemps possible », expliquent des chercheurs de RisklQ. « On ne peut pas savoir dans quelle mesure les attaquants avaient accès aux serveurs de British Airways. Mais le fait qu'ils aient pu modifier une ressource pour le site nous indique que l'accès était substantiel, et le fait qu'ils y avaient sûrement accès bien avant l'attaque nous rappelle brutalement la vulnérabilité des ressources Internet. »

Environ 500 000 clients de British Airways pourraient avoir été touchés par cette violation de données. L’organisme britannique de la protection des données a par la suite infligé une amende de près de 230 000 dollars (environ 200 000 euros) à l’entreprise pour son système de sécurité défectueux.

Si vous comparez le nombre de détails de carte de crédit pouvant être volés en une seule attaque Magecart par rapport à une attaque sur des PC ciblés, il est très probable que la majorité des détails de carte de crédit fullz disponibles sur le dark Web proviennent des différents gangs Magecart. Ces attaques se poursuivent et augmenteront sûrement en 2020.

Comment se protéger

Il est difficile de protéger ses informations de carte de paiement. Nous pouvons défendre nos propres PC mais nous ne pouvons rien contre les attaques qui ciblent les détaillants.

Pour son PC, il faut utiliser un bon produit antivirus à jour qui détectera et bloquera la plupart des malwares. Il faut aussi connaître les mesures de sécurité basiques, savoir reconnaître les tentatives de phishing et les ignorer. Nous devons aussi veiller à corriger régulièrement notre navigateur et/ou passer à un navigateur plus sécurisé.

On ne peut pas empêcher les attaques de Magecart contre les détaillants, mais on peut être conscient de leur existence et s’y préparer. Les grandes entreprises sont censées préparer un plan de réponse aux incidents en cas de violation. Nous devons adopter une approche similaire : partir du principe que nos informations de paiement seront volées et savoir comment réagir lorsque cela arrivera. Pour nos achats en ligne, nous pouvons utiliser des comptes qui ne contiennent que le montant que nous pouvons nous permettre de perdre. Nous pouvons surveiller nos comptes bancaires pour voir si des achats n’ont pas été réalisés à notre insu. Et nous pouvons consulter régulièrement nos cotes de crédit.