Souhaitez-vous participer à la création d'un jeu vidéo inspiré de Stardew Valley, ou le tester lorsque la version bêta sera disponible ? Remplissez notre sondage ou inscrivez-vous à notre lettre d'information (en bas de page)
1

Achats en ligne : les cartes Visa sont piratables en 6 secondes via des attaques par force brute

le 11-12-2016 à 00:17 #
60 tentatives chez visa avant de se faire jeter, franchement faut pas abuser, en tout cas soyez prévenu, le code CVV et la date d'expiration ne sont plus un soucis pour les pirates.

https://www.crashdebug.fr/informatik/93-securite/12803-achats-en-ligne-les-cartes-visa-sont-piratables-en-6-secondes-via-des-attaques-par-force-brute

(Modifié par Folamour le 11-12-2016 à 00:18)
Re: Achats en ligne : les cartes Visa sont piratables en 6 secondes via des attaques par force brute
le 11-12-2016 à 01:55 #
C'est évident (trouver qu'il y a 60 combinaisons mois-années sur 5 ans ne demandait pas beaucoup de recherche!). Le fait de trouver un numéro de carte valide, sa date et son CVV, même s'il est accepté par un site d'e-commerce, ne permet pas de faire un transfert. Il faut que le nom de la personne corresponde, ainsi que la partie numérique de son adresse (p.ex numéro et code postal). Et ces informations sont nettement plus difficiles à deviner (si tu t'appelles John Smith et que tu habites au numéro 1 quelque part à New York, c'est pas de bol, mais pour le commun des mortels c'est introuvable)

Les utilisateurs sont donc protégés, d'autant plus qu'ils ont une longue période pour faire opposition sur une transaction louche (c'est en fait la plus importante mesure de sécurité et le problème est souvent que l'utilisateur ne réalise pas qu'il est nécessaire de toujours vérifier ses états de comptes), et que la plupart des banques bloquent automatiquement les transactions inhabituelles.

Les commerçants, eux, sont protégés par le fait d'avoir l'adresse de livraison, qui permettrait de retrouver le fraudeur s'il veut recevoir la marchandise. Ils peuvent aussi choisir d'attendre la validation de la transaction par Visa avant d'envoyer quelque chose ou d'activer un service.

En pratique, les fraudes de ce type sont très rares. Pour mes boutiques, j'ai beaucoup plus de tentatives par social-engineering (quelqu'un se fait passer pour un gros client, veut payer 30 jours après livraison - ce qui est une pratique standard en B2B mais quand la livraison doit se faire au Nigeria ça soulève de gros doutes )

L'étude est disponible ici.
Re: Achats en ligne : les cartes Visa sont piratables en 6 secondes via des attaques par force brute
le 11-12-2016 à 13:59 #
J'ai ma carte Visa qui a été piratée la semaine dernière, il se trouve que quelques jours plus tôt je suis allé à ma banque pour lier mon nouveau N° de téléphone à ma carte pour pouvoir sécuriser mes paiement par retour de code par SMS lors d’achat sur des sites proposant cette formule.

Quelques jours après cette opération, j'ai reçu des SMS pour confirmer des achats (3) assez onéreux 150E, 250 E environ que je n'ai jamais effectué ? à des sites que je ne connais pas ? j'ai aussitôt jeté ces SMS qui ne me concernaient pas ? Puis plus tard j’ai aperçu 3 débits sur mon relevé de banque de environ 20 E pour des achats que je n'ai jamais effectué ? En tout 67 Euros.
J'ai même eu un jour un débit de 540 Euros puis le lendemain un crédit du même montant ?

Je vais être remboursé et ma carte va être refaite sans frais car je suis assuré, mais je n’ai pas très envie de lier la nouvelle carte à mon téléphone car il me semble que tout est parti de là ?

Ajout du 11-12-2016 à 14:13:

L'étude du premier lien est stupéfiantes ! le N° de la carte comporte ou tout du moins permet de donner la date d'échéance et le cryptogramme ? Et voir même en prenant seulement les 6 premiers chiffres de N° de carte ?

Sachant qu'il ne faut que ces 3 renseignements pour valider une transaction ! Et tout ça se fait en 6 secondes ? alors que Visa jette le contrevenant au bout de 60 tentatives ?

C'est réel cette étude ? ou bien faite par un concurrent de Visa ? Car ils sembleraient que les autres cartes jettent plus vite les h@ckers ? On voudrait couler Visa qu'on ne s'y prendrais pas autrement !
Re: Achats en ligne : les cartes Visa sont piratables en 6 secondes via des attaques par force brute
le 11-12-2016 à 15:46 #

le 11-12-2016 à 13:59, @SETI :
L'étude du premier lien est stupéfiantes ! le N° de la carte comporte ou tout du moins permet de donner la date d'échéance et le cryptogramme ? Et voir même en prenant seulement les 6 premiers chiffres de N° de carte ?

Le principe c'est de tester sur différents sites jusqu'à ce que tu trouves la bonne combinaison. Les numéros de carte valides sont calculables, tu peux en obtenir des millions avec un simple programme (mais ça ne veut pas dire qu'ils sont attribués à quelqu'un). Pour la date, ce n'est jamais plus de 5 ans dans le futur, donc tu as un maximum de 60 possibilités. Le CVC ne comporte généralement que 3 chiffres, 1000 essais maximum, éventuellement mois s'il y a une logique derrière.

Donc, il suffit de faire un programme qui, sur une centaine de sites d'e-commerce, va tenter d'acheter quelque chose. On fait toutes les combinaisons possibles jusqu'à trouver celle qui est acceptée.

Est-ce grave ? Au final, le « hacker » possède les mêmes informations que n'importe quel commerçant ou employé au salaire minimum à qui tu as présenté ta carte. En fait il en a même moins, puisqu'il n'a pas ton nom et aucune idée de ton adresse.

Tous les sites qui se respectent font d'autres vérifications. La carte peut être acceptée au départ, mais deux heures plus tard tu reçois un email pour dire que ça a échoué.

Le problème de cette « étude » (réalisée par des étudiants et non peer-reviewed, donc pas vraiment une étude) c'est qu'on vérifie seulement si on peut obtenir les données qui sont acceptées, on ne vérifie pas si une transaction peut être faite, et selon moi la réponse est non, ça aurait marché au début des années 2000 mais plus maintenant. C'est néanmoins quelque chose qui devrait être mitigé, mais les auteurs eux-même admettent qu'il n'y a pas de solution miracle et que seule la vigilance de l'utilisateur qui vérifie ses comptes est une réelle protection.

Les SMS de confirmation sont une bonne chose et permettent justement d'ajouter une couche de protection supplémentaire. La grande majorité des transaction frauduleuses ont lieu quand tu donnes ta carte à un humain, que tu la passes dans (ou à juste à proximité avec le RFID) une machine hackée ou devant une caméra. Le web c'est ce qui est le plus sécurisé (et paradoxalement ce qui fait le plus peur aux gens!)

Je suis toujours étonné quand des gens insistent pour me donner leurs informations par téléphone parce qu'ils ont peur de le donner sur un site, alors que sur le site ça passe directement aux banques via une connexion sécurisée. Tandis que si tu me donnes tes informations, je fais ce que je veux avec!
Re: Achats en ligne : les cartes Visa sont piratables en 6 secondes via des attaques par force brute
le 11-12-2016 à 16:01 #
Cela dit j’ai un autre gros doute sur un loueur de voiture à l'étranger où ma carte ne passait pas mi novembre et qu'ils l'ont essayée plusieurs fois sur plusieurs machines sans quelle marche et qu'au distributeur de billet plus loin dehors elle marchait ?




Ces discussions pourraient vous intéresser également:


Brute Force, Algorithme
Sauver tous les caractères d'une ligne d'un fichier, ligne par ligne
creation d'un jeu de cartes
cartes à puces
Programme C : jeu de cartes