Carte bancaire Visa

[sentenza]

• Carte bancaire Visa : des informations récupérables par force brute, la société nous répond
  
  
  
  Des chercheurs pointent du doigt un problème concernant les cartes bancaires Visa : il est possible de récupérer la date de fin de validité, le cryptogramme visuel (CVV) et le code postal du propriétaire à partir du numéro de la carte. Interrogé, Visa explique être au courant de cette publication et donne sa version des faits.
  
  Pour payer avec sa carte bancaire sur Internet, il faut généralement saisir trois informations (c'est du moins le cas en France) : son numéro, sa date de fin de validité et le code CVV (aussi appelé cryptogramme visuel), composé de trois chiffres au dos de la carte. Problème : d'après une étude publiée par des chercheurs de l'université de Newcastle en Angleterre, certaines informations peuvent facilement et rapidement être récupérées via une attaque par force brute.
  
  Pour cela, les chercheurs (Mohammed Aamir Ali, Budi Arief, Martin Emms et Aad van Moorsel) expliquent qu'il faut au moins disposer du numéro d'une carte bancaire, ce qui peut être facilité par certaines fuites de données qui font la une de la presse ces derniers temps.
  Le numéro de CB suffit pour obtenir date de fin de validité et code CVV
  
  Partant de cette seule information, ils ont trouvé un moyen d'obtenir la date de fin de validité. Pour cela, ils interrogent les systèmes de paiement de différents revendeurs en ligne qui ne demandent que ces deux informations afin de valider une transaction. Ils testent alors toutes les combinaisons : décembre 2016 (12/16), janvier 2017 (01/17), février 2017 (02/17), etc. Si le système retourne une erreur, c'est que la date est mauvaise. Dans le cas contraire, c'est gagné.
  
  
  
  
  

• Il est alors possible d'obtenir rapidement la bonne combinaison (le mois et l'année) en moins de 60 essais. L'équipe de chercheurs a pris comme limite haute une durée de validité de 5 ans pour les cartes bancaires, soit 60 mois et donc autant (ou aussi peu selon comment on regarde les choses) d'essais. Une fois la date de validité connue, ils peuvent passer à la seconde étape : récupérer de la même manière le cryptogramme visuel ou code CVV.
  
  Pour cela, ils interrogent d'autres revendeurs qui demandent cette fois-ci le numéro de carte, la date de fin de validité ainsi que le code CVV pour valider une transaction. Ils passent alors en revue toutes les possibilités pour ce dernier, sachant qu'il n'y en a finalement qu'un millier : de 000 à 999. Cette opération peut donc être relativement rapide si elle n'est pas bloquée par les serveurs. Par une technique similaire, il est ensuite possible de récupérer le code postal du propriétaire de la carte.
  
  Dans la vidéo ci-dessus, l'outil mis au point par les chercheurs n'a eu besoin que d'une poignée de secondes pour trouver le code CVV d'une carte bancaire à partir de son numéro et de sa date de fin de validité. Nous sommes par contre obligés de les croire sur parole sur la rapidité et sur la véracité de la solution trouvée.
  Contrairement à MasterCard, Visa ne bloque pas ce genre d'attaque
  
  Cette technique d'attaque par force brute est possible car, toujours selon les chercheurs, de nombreux sites – y compris de très gros revendeurs – n'imposent aucune limite sur le nombre d'essais, laissant ainsi d'éventuels pirates tester toutes les combinaisons possibles (et il y en a finalement assez peu).
  
  Par exemple, une personne ne disposant que du numéro de la carte bancaire peut obtenir la date de fin de validité, puis le code CVV et enfin le code postal de son propriétaire. Pour les deux premières opérations, seules 1 060 combinaisons sont possibles car il est possible de chercher l'un puis l'autre, alors que ce nombre grimpe à 60 000 (60 x 1 000) s'il fallait trouver en même temps la date et le code CVV.
  
  Toujours selon le constat des chercheurs, Visa ne bloque pas non plus ce genre d'attaque, ce qui est d'autant plus problématique. Une parade relativement simple à implémenter serait donc d'ajouter un nombre de tentatives maximum pour éviter une attaque par force brute. Une solution d'autant plus viable que le principal concurrent de Visa l'aurait mise en place.
  
  L'étude indique en effet que « lorsque l'attaque est appliquée à une carte MasterCard, elle est détectée » et bloquée, y compris si les tentatives sont réparties sur plusieurs revendeurs différents. Pour l'équipe, cela signifie que « les réseaux de paiement ont la capacité de détecter et de prévenir » ce genre de tentative de piratage, au moins chez MasterCard.
  
  Les chercheurs ajoutent avoir contacté 36 boutiques en ligne afin de leur faire part de leur découverte. 12 d'entre elles ne demandaient qu'un numéro de carte bancaire, 12 autres qui nécessitaient en plus de saisir la date de fin de validité de la carte et enfin les 12 dernières obligeaient le client à entrer le code CVV.
  
  Seuls huit d'entre elles ont apporté des modifications suite à ce contact. Suivant les cas, la méthode utilisée est différente : ajouter un champ pour saisir le code postal en plus des autres informations, instaurer des limites pour bloquer les attaques par force brute ou un captcha, par exemple. Il n'en reste pas moins que dans la grande majorité (78 %) rien n'a changé.
  
  
  
  Interrogé, Visa botte en touche
  
  De notre côté, nous avons évidemment contacté Visa afin d'avoir le point de vue de la société sur la question ainsi que sur les actions qu'elle pourrait rapidement mettre en place. Si l'entreprise reconnait évidemment avoir connaissance de cette étude, ses explications restent relativement évasives :
  
  « Cette recherche ne tient pas compte des multiples niveaux de prévention de la fraude qui existent au sein du système de paiements, chacun d'entre eux devant être respecté pour rendre une transaction possible dans le monde réel.
  
  Visa s'engage à maintenir la fraude à un niveau bas et travaille en étroite collaboration avec les émetteurs de cartes et les acquéreurs pour rendre très difficile l'obtention et l'utilisation illégale des données des titulaires de carte. Nous fournissons aux émetteurs les données nécessaires pour prendre des décisions éclairées sur le risque des transactions. Il existe aussi des mesures que les commerçants et les émetteurs peuvent prendre pour contrecarrer les tentatives d'attaques en force.
  
  Pour les consommateurs, la chose la plus importante à retenir est que si leur numéro de carte de paiement est utilisé frauduleusement, ils sont protégés de toute responsabilité.
  
  Visa propose également une sécurité accrue avec Verified by Visa (basé sur la norme 3DSecure) qui offre une meilleure sécurité pour les transactions relatives au commerce électronique. Nous travaillons actuellement pour y intégrer les nouvelles spécifications 3DSecure 2.0, annoncées récemment. Lorsqu'un commerçant choisit de ne pas utiliser Verified by Visa pour une transaction sans carte, il assume le risque de fraude.
  
  Visa se félicite des efforts déployés par l'industrie et les universités pour identifier et traiter les éventuelles vulnérabilités dans le système de paiements. Parallèlement à nos propres contrôles internes et à nos tests, cela permet à Visa et à l'industrie des paiements de rendre les paiements toujours plus sûrs »
  Un rappel des protections et des risques, mais pas de plan d'action précis
  
  Nous n'avons donc aucune réponse précise concernant d'éventuelles mesures que Visa pourrait mettre en place pour éviter ce genre d'attaque par force brute, comme le propose notamment MasterCard. S'il existe visiblement des protections permettant de « contrecarrer les tentatives d'attaques en force », elles ne sont pas détaillées et, semble-t-il, trop peu efficaces et /ou mises en place, puisque les chercheurs ont pu les contourner facilement.
  
  Le groupe vante également son service « Verified by Visa », une protection basée sur 3D Secure qui ajoute une étape supplémentaire lors de la validation du paiement, dont la prochaine mouture 2.0 est sur les rails. Pour Visa, si un commerçant en ligne décide de ne pas utiliser cette protection pour une transaction, « il assume le risque de fraude ». Au moins, les choses sont claires pour les boutiques en ligne.
  
  Côté utilisateur, le discours est différent puisque Visa nous explique que ses clients sont protégés contre une utilisation frauduleuse du numéro de leur carte bancaire. Dans tous les cas, activer par défaut une protection qui empêche une attaque par force brute ne pourrait être qu'une bonne chose pour Visa.
  
  En effet, tout renforcement de la sécurité est bon à prendre, aussi bien pour les commerçants que pour les clients, mais rien n'est précisé sur ce point dans la réponse officielle de Visa. Dommage.
  
  
  NextInpact
  
  
  
  

[ironman]

Votre carte VISA peut être hackée en moins de quatre secondes


MoneyBlogNewz - CC BY 2.0





Des chercheurs en sécurité ont élaboré une méthode logicielle permettant, à partir d'un numéro de carte, de trouver sa date de validité, son cryptogramme visuel et même le code postal de l'utilisateur.

En 2016, l'e-commerce français devrait franchir la barre des 200.000 sites de vente en ligne, ce qui représentera une croissance de plus 16 % par rapport l’année précédent (source: Fevad). Cette multiplication des sites est une bonne nouvelle pour l'économie, mais pas vraiment pour la sécurité des moyens de paiements. Car ces différents sites permettent de manière indirecte de faire fuiter les données sensibles d'une carte bancaire, tel que son cryptogramme visuel (CVV).
En effet, des chercheurs en sécurité de la Newcastle University et de l'University of Kent ont constaté une assez grande disparité dans la validation des données de carte bancaire. La plupart demandent le numéro de carte, la date de validité et le CVV. Mais certains se contentent du numéro de carte et de la date de validité. D'autres, au contraire, réclament en plus un numéro de code postal. L'étude des chercheurs montre qu'en connaissant un numéro de carte bancaire Visa, ces divergences de procédure permettent à un attaquant de deviner tous les autres données en l'espace de quelques secondes seulement.



Pour y arriver, il suffit de tester méthodiquement les différentes possibilités sur les différents sites e-commerce. Une telle attaque par force brute est possible car le nombre de sites et le nombre de tentatives qu'elles autorisent est assez grand. Ainsi, pour deviner la date de validité, l'attaquant se limitera aux sites qui ne demandent que deux données. Il y en a 26 parmi les 400 plus grands sites e-commerce, ce qui est largement suffisant. Il faut au plus soixante essais pour la deviner, car la durée de validité d'une carte bancaire n'excède pas 60 mois, selon les chercheurs.
DR - Le processus d'un paiement en ligneEnsuite, pour deviner le CCV, l'attaquant se concentre sur les sites qui la réclament. Il y en a 291 parmi les 400 plus grands sites e-commerce, dont 266 qui autorisent au moins 6 tentatives. Là encore, c'est largement suffisant. Un millier d'essais suffisent pour deviner ce petit numéro à trois chiffres. Pour trouver le code postal, en revanche, c'est plus compliqué. Il faut d'abord restreindre l'espace de recherche en identifiant le pays d'émission, ce qui est possible sur des sites tels que www.exactbins.com ou www.bindb.com.
En France, cela donnerait a priori 6.300 codes postaux à vérifier. C'est beaucoup, mais possible, car certains sites e-commerce autorisent un nombre d'essais illimité.
Les chercheurs ont effectué des tests à partir de sept cartes bancaires Visa. Ils ont développé un logiciel qui automatise les essais de validation sur une trentaine de sites e-commerce. Résultat: en partant d'un numéro de carte bancaire, ils réussissent à obtenir toutes les autres informations en moins de… quatre secondes! Cette méthode est donc incroyablement efficace.
Une faille systémique

Plusieurs raisons rendent cette faille de sécurité particulièrement inquiétante. Tout d'abord, il est de moins en moins compliqué pour un pirate d'obtenir des numéros de carte bancaire. Il peut se rendre sur le Darkweb où ils sont vendus par lot. Il peut aussi tenter de les capter dans une foule de gens, grâce à un lecteur NFC. Le pirate peut aussi essayer de générer des numéros au hasard, grâce à l'algorithme de Luhn, utilisé pour une validation strictement mathématique du numéro.
Le second problème est le caractère systémique de cette faille. Elle ne provient pas d'un bug logiciel, mais de la manière dont le paiement en ligne est techniquement organisé, avec sa multitude d'acteurs impliqués: sites e-commerce, passerelle de paiement, réseau de paiement, établissements bancaires.
Ainsi, ce type d'attaque par force brute pourrait être évité si tous les sites réclamaient les mêmes informations. Mais vu le nombre de sites e-commerce, il sera compliqué de mettre tout le monde d'accord.
L'idéal, selon les chercheurs, serait de détecter l'attaque sur un numéro de carte au niveau des réseaux de paiement (Visa, Mastercard, American Express…), car ils sont les seuls à avoir une vision globale des transactions. Chez Mastercard, d'ailleurs, l'attaque ne fonctionne pas. Les chercheurs supposent donc que ce réseau dispose d'un système de détection approprié. Côté utilisateurs, en revanche, il n'y a pas vraiment de solution. Sauf à remplacer sa carte Visa par une carte Mastercard.

**Contenu caché: Cliquez sur Thanks pour afficher. **