6 secondes pour pirater une carte bancaire

Les pirates informatiques font de plus en plus fort dans le domaine bancaire ! Voici qu’un logiciel spécialisé et facilement trouvable met 6 secondes pour hacker une carte bancaire.

Il ne s’agit pas cette fois-ci de quelque chose qui va prendre de l’argent sur votre carte bancaire si celle-ci est “sans contact” (voir Les dangers de la carte de paiement sans contact NFC et Lire facilement les données d’une carte bancaire sans contact) mais d’un système tout bête qui va deviner le cvv de votre carte et donc pouvoir utiliser celle-ci sur le net par exemple.

Petit rappel 1: Pour pouvoir acheter quelque chose sur Internet avec une carte bancaire, on doit donner le nom qui figure sur la carte, le numéro de la carte, la date de validité et le ccv (4 chiffres au dos pour les cartes Visa, 4 chiffres sur le recto de la carte pour Amex).

Un pirate a donc 3 choses à connaître pour acheter des choses sur le net avec la carte d’une autre personne (il ne pourra pas passer par les sites employant le 3D Secure qui consiste à faire confirmer la transaction par un code envoyé sur le téléphone du possesseur de carte mais il y a bien des sites de par le monde qui n’utilisent pas ce système..). Se faire livrer des choses physiques n’est pas un problème puisqu’il est facile d’indiquer une adresse où l’on sait que le facteur change (par exemple à l’occasion des vacances) ou où il est facile de guetter son arriver et de faire semblant d’habiter là.

Petit rappel 2: Un numéro de carte bancaire est de type ABCD EFGH IJKL MNOP

A désigne le type de carte (Américan Express (3), Visa (4), MasterCard (5), Discover (6) )

BCDEF désigne la banque. Par exemple:

4561 Visa HSBC 4970 Visa La Poste 4972 Visa Crédit Lyonnais (LCL) 4973 Visa Société Générale 4974 Visa BNP 4975 Visa La Bred 4976 Visa Sofinco 4978 Visa Caisse d’Epargne 5131 MasterCard Crédit agricole 5612 MasterCard Crédit agricole 5132 MasterCard Crédit Mutuel

Le reste des chiffres correspond à d’autres infos et l’ensemble doit respecter la clé de Luhn : si on additionne tous les chiffres en position paire (B, D, F, H, J, L, N, P ) + la somme des nombres obtenus en multipliant par 2 les chiffres en position A, C, E, G, I, K , M et O (attention si la multiplication par 2 du chiffre dépasse 10, on prend la somme des chiffres: ex: 8×2=16 donc on garde 7) —> on doit obtenir un multiple de 10.

Le dernier chiffre, P, est la clé de Luhn qui est calculé en fonction des infos des autres chiffres POUR que l’ensemble des chiffres suive la règle qui précède.

Sans connaître ces détails, il est facile d’attraper un numéro de carte bancaire sur quelques sites internet spécialisés ou en lorgnant près d’un distributeur ou par un lecteur NFC avec ces fameuses cartes sans contact.

Pour avoir la date de validité de la carte, il suffit de “tester” le numéro sur un site (pas celui où le pirate veut acheter) jusqu’à ce que la date soit bonne.

Ensuite il reste le ccv.

Hé bien d’ingénieux pirates ont utilisé la même méthode que pour la date: ils testent tout un tas de nombres sur divers sites..

Voici une vidéo de démonstration de leur système où ils trouvent ce ccv en 6 secondes.

Et voici le papier de “recherche” pour habiller tout ça avec une question sur la sécurité supposée des cartes bancaires..

Download the PDF file .

Rappelons que chaque année, la fraude aux cartes bancaires augmente de plus en plus mais que le groupement des cartes bancaires soigne soigneusement les chiffres de ce fléau.

En France, vous êtes défendu contre les pertes mais il s’agit de bien connaître vos droits pour ne pas vous faire arnaquer ET par le criminel ET ensuite par votre banque: voir Protection et recours en cas de fraude à la carte bancaire

A propos de 6 secondes pour pirater une carte bancaire

Laissez un commentaire ou posez une question

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.