@ johnbiggs / 4h47 PST * Décembre 5, 2016
Crédits d’image:
Dans ce qui équivaut à une attaque par force brute très intelligente, un groupe de chercheurs a découvert comment trouver des informations de carte de crédit – y compris les dates d’expiration et les numéros de CVV – en interrogeant les sites de commerce électronique. Le processus, décrit dans IEEE Security & Privacy, consiste à deviner et à tester des centaines de permutations de dates d’expiration et de numéros de CVV sur des centaines de sites.
Les cartes MAÎTRES ne sont pas sensibles à cette attaque car leur système arrête les cartes après 100 tentatives. Les détenteurs d’une carte Visa n’ont pas autant de chance.
Les chercheurs, Mohammed Aamir Ali, Budi Arief, Martin Emms et Aad van Moorsel, pensent que leur outil peut également être utilisé pour deviner les codes postaux et les données d’adresse ou que les pirates peuvent simplement corréler les données de localisation avec les banques émettrices ou utiliser des écumeurs pour déterminer où différentes cartes sont utilisées. Si le site de commerce ne nécessite pas de code postal, cependant, casser la carte est aussi simple que d’exécuter un programme.
Pour éviter l’attaque, il est possible de poursuivre la standardisation ou la centralisation (certains réseaux de paiement par carte le prévoient déjà). La normalisation impliquerait que tous les commerçants doivent offrir la même interface de paiement, c’est-à-dire le même nombre de champs. Ensuite, l’attaque ne s’étend plus. La centralisation peut être réalisée par des passerelles de paiement ou des réseaux de paiement par carte disposant d’une vue complète de toutes les tentatives de paiement associées à son réseau. Ni la standardisation ni la centralisation ne correspondent naturellement à la flexibilité et à la liberté de choix que l’on associe à Internet ou à une activité commerciale réussie, mais elles fourniront la protection requise. Il appartient aux différentes parties prenantes de déterminer les raisons et le calendrier de telles solutions.
Les chercheurs pensent que ces attaques se produisent déjà dans la nature et que leur solution – bien que pénible – n’est pas unique, ce qui la rend beaucoup plus effrayante.
{{ titre}}
{{ date }} {{ auteur}}
