Fraude à la carte bancaire : il suffit de six secondes pour pirater une Visa, selon des chercheurs

Des experts de l'université de Newcastle, au Royaume-Uni, ont tenté l'expérience. L'entreprise, elle, se veut rassurante.

Une carte Visa photographiée le 11 mars 2015.
Une carte Visa photographiée le 11 mars 2015. (JOERG CARSTENSEN / DPA / AFP)

L'étude a de quoi faire frémir n'importe quel détenteur de carte bancaire. Quatre chercheurs de l'université de Newcastle (Royaume-Uni) ont publié, jeudi 1er décembre, les conclusions de leurs travaux sur la sécurité des cartes Visa. Et, d'après leurs résultats, celle-ci n'est pas très efficace puisqu'il faut, selon eux, seulement six secondes pour pirater à distance une de ces cartes.

Les chercheurs affirment que le procédé est "terriblement facile" et nécessite seulement un ordinateur et une connexion internet. La méthode utilisée est appelée "Distributed Guessing Attack", une "attaque décentralisée et par élimination". En quelques secondes, les pirates vont en effet obtenir la date d'expiration et le code CVV – le cryptogramme visuel situé au dos de toute carte bancaire.

Un procédé par élimination

Il leur suffit d'abord d'avoir le numéro de la carte bancaire. Pas si compliqué quand on sait que ce type d'informations fait régulièrement l'objet de fuites sur internet. Ensuite, pour la date de validité, ils vont interroger les systèmes de paiement de différents revendeurs en ligne et rentrer plusieurs dates jusqu'à tomber sur la bonne, détaille Nextinpact. D'après l'étude, en moins de 60 essais, on peut décrocher la bonne combinaison. Le procédé est le même pour le cryptogramme : il faut moins de 1 000 tentatives pour l'obtenir. 

Mohammed Ali, l'un des auteurs de l'étude, pointe "deux faiblesses". "Premièrement, le système de paiement en ligne ne détecte pas les multiples tentatives erronées qui viennent de plusieurs sites internet, explique-t-il au journal The Independent (en anglais). Deuxièmement, des sites demandent des variations différentes des données de la carte de paiement pour valider un achat en ligne. Cela veut dire qu'il est assez facile de rassembler les informations et de les remettre dans l'ordre comme un puzzle." 

Visa se veut rassurant

La société Visa n'a eu d'autre choix que de réagir à ces révélations. Dans un communiqué cité par The Independent, l'entreprise assure que les chercheurs n'ont "pas pris en compte les multiples niveaux de protection existant contre la fraude". La marque assure "travailler en étroite relation avec les émetteurs de carte et les distributeurs pour rendre très difficile l'obtention et l'utilisation illégale des données des cartes bancaires". 

Elle rappelle encore aux "consommateurs" que "la chose la plus importante à se souvenir si le numéro de leur carte bancaire est utilisé frauduleusement est qu'ils sont exemptés de toute responsabilité". Au passage, l'entreprise en profite enfin pour vanter son système "Verified by Visa" : une façon d'obtenir une sécurité supplémentaire lors de ses achats en ligne.