Et si un hacker mettait la main sur votre carte de crédit ? Un scénario que l’on imagine peu mais qui est pourtant assez fréquent. Outre l’arnaque par TPE artificiel via la technologie NFC, par usurpation d’identité ou par phishing, il est possible de découvrir un numéro de carte de paiement sans pénétrer dans une base de données. Sur le Dark web, ces numéros se vendent par millions, à environ 10 dollars par carte. C’est ce qu’affirme NordVPN dans une étude.

Le prestataire de services du réseau privé virtuel NordVPN a analysé des données statistiques recueillies par des chercheurs indépendants. Selon des chercheurs de l’université de Newcastle, le vol des détails d’une carte bancaire ne prendrait que six secondes. Aujourd’hui, il n’est plus nécessaire de voler une carte pour en récupérer les données. En effet, les hackers utilisent désormais une technique beaucoup plus simple, c’est ce qu’on appelle l’attaque par force brute. Le principe est simple : tester plusieurs séries de combinaisons de chiffres à la chaîne, depuis un logiciel automatisé.

Grâce à de simple ordinateurs, les hackers ont la capacité d’identifier les 16 chiffres d’une carte bancaire grâce au calcul. «Les 6 ou 8 premiers chiffres sur votre carte correspondent à son émetteur. Il ne reste donc que 7 à 9 chiffres à déterminer, car le 16ème et dernier chiffre est un code d’authenticité qui permet de vérifier que la saisie est correcte grâce à l’algorithme de Luhn», explique NordVPN.

Ces 9 derniers chiffres apparaissant sur une carte bancaire représentent plus ou moins 1 milliard de combinaisons possibles. Comme le précise l’étude «cela ne prend qu’une minute pour un ordinateur ordinaire, qui est capable de tester environ 25 milliards de combinaisons par heure». Parfois, selon l’émetteur de la carte, il n’y a que 7 chiffres à identifier. Ces derniers peuvent être déterminés en seulement 6 secondes.

Toutefois, les émetteurs de cartes bancaires mettent en place des limitations au niveau des tentatives de saisie autorisées dans un temps imparti. En effet, Mastercard dispose d’un système d’authentification centralisé. Ce dernier permet aux pirates de n’avoir que 10 essais sur un numéro avant de voir la carte bloquée. Du côté de Visa, la procédure n’est pas la même puisqu’elle permet à un pirate d’avoir entre 30 et 40 tentatives. «Et s’il choisit le bon moment de la journée, quand il y a beaucoup de monde, il peut essayer beaucoup plus de fois parce que le système est décentralisé», précise NordVPN.

En fait, le format de la combinaison dépend du modèle de carte que le pirate cherche à craquer. «Imaginez un ordinateur qui essaie de deviner votre mot de passe. Il essaie d’abord 000000, puis 000001, puis 000002, et ainsi de suite jusqu’à ce qu’il y parvienne», explique NordVNP. Avec un ordinateur assez puissant, l’opération peut se dérouler à une échelle de temps inférieure à 10 secondes. 

Au cours de leurs recherches, les chercheurs indépendants ont trouvé 1.561.739 jeux de données de cartes à vendre sur le Dark web et seulement depuis les États-Unis. Dans le cas du Maroc, 6.330 cartes sont en vente sur le marché noir. Les cartes de débit sont les plus sujettes à des piratages et leurs détails se vendent, en moyenne, à 7,38 dollars pour chaque carte. L’indice de risque est de 0,5 (voir graphique).

Pour se prémunir contre ces attaques, le plus important est de rester vigilant, affirme NordVPN. «Examinez votre relevé mensuel pour détecter toute activité suspecte et réagissez rapidement et sérieusement à tout avis de votre banque indiquant que votre carte a pu être utilisée de manière non autorisée», peut-on lire dans le rapport. Utiliser des mots de passe plus forts et l’authentification multifactorielle pour chaque transaction seraient d’autres moyens de limiter son exposition à un vol de données bancaires.

Par K.A