Des chercheurs de l’université de Newcastle on révélé qu’une carte bancaire Visa nécessitait environ six secondes pour être piratée. Pour cela, il suffit d’une simple connexion internet mais aussi d’un bot qui va faire tout le travail via la technique du « mass guessing », c’est-à-dire la multiplication des essais pour deviner des informations.
Il y a plusieurs étapes en réalité pour hacker parfaitement votre carte. Tout d’abord, il est nécessaire d’obtenir les 16 chiffres qui correspondent à votre carte. Et croyez-le ou non, mais ce n’est en rien compliqué puisque ceux-ci s’échangent contre la modique somme de un dollar partout sur le web. Reste alors la date d’expiration et le code mystère à trois chiffres situé au dos de votre carte bleue. Et c’est là que le bot joue son rôle.
En l’espace de quelques secondes, ce dernier se connectera à des dizaines de sites e-commerce dans l’unique but de tester différentes combinaisons. Ainsi, pour deviner la date d’expiration, il lui faudra une soixantaine d’essais au maximum. Quant au code de sécurité, il n’y a que 1 000 possibilités. Or, quand on sait qu’un site basique de e-commerce autorise 4 à 50 essais, tandis que d’autres n’ont même aucune limite, on comprend mieux pourquoi le bot réussi en quelques secondes à vous trouver les bonnes données. La technique du « mass guessing » que nous venons de vous décrire ne marche pas, par exemple, sur les MasterCard car celles-ci sont protégées contre ce hack. Les Visa, non.
Dans leur étude, les scientifiques expliquent que la clé de ce système est la diversité des sites de paiement qui demandent des informations différentes en plus du numéro de carte. « Nous avons observé que les différences entre les systèmes de sécurité des divers sites Web sont une vulnérabilité exploitable » résument les chercheurs. Heureusement, Visa a tenu à rassurer ses clients en expliquant « que si leur numéro de carte est utilisé de manière frauduleuse, ils sont exemptés de toute responsabilité » .