6 secondes suffisent pour pirater n'importe quelle carte Visa

Même si vous gardez votre code secret, secret, on peut payer sur internet avec votre carte Visa.

La fièvre acheteuse de la fin d'année semble donner des ailes aux escrocs à la carte bancaire. Après le réseau Cobalt, qui serait capable de pirater des distributeurs à distance pour les vidanger de leurs billets, une autre attaque vient d'être démontrée par des chercheurs en sécurité. Cette technique permet de deviner les données essentielles d'une carte Visa en 6 secondes.

Pour toute la sécurité, il y a Mastercard

En multipliant les tentatives de paiement sur des dizaines de sites web, les attaquants peuvent petit à petit deviner le numéro à 16 chiffres de la carte, sa date d'expiration puis son code de sécurité, un triptyque souvent suffisant pour valider une transaction. Par exemple, les sites n'exigeant que le numéro et la date d'expiration peuvent servir à deviner cette dernière en moins de 60 essais, les cartes n'étant pas valables plus de 60 mois. Cette date peut ensuite être réutilisée pour deviner le code de sécurité en moins de 999 tentatives (c'est un numéro à 3 chiffres).

Cette nouvelle faille dans la sécurité des cartes bancaires repose sur le fait que Visa ne bloque pas une carte après plusieurs essais infructueux. Au contraire, le réseau MasterCard détecte l'attaque et la bloque après moins de 10 essais. Les chercheurs ont heureusement contacté Visa avant de publier leur article, des mesures palliatives devraient donc apparaître rapidement.