MONTRÉAL — Les pirates informatiques n’ont besoin que de six secondes pour pouvoir utiliser frauduleusement les cartes de crédit ou de débit Visa, préviennent des chercheurs britanniques.
Les scientifiques de l’Université de Newcastle ont constaté que ni Visa ni les banques ne détectaient les centaines, voire les milliers, de tentatives d’utilisation frauduleuses de ces cartes, pour autant qu’elles soient réparties sur plusieurs websites différents.
Lors d’une fraude baptisée «Distributed Guessing Assault», les pirates bombardent des centaines de websites avec différentes variations des données de sécurité des cartes (le numéro de la carte, la date d’expiration et le numéro de sécurité au verso). En combinant les réponses générées, ils finissent par assembler, un élément à la fois, la combinaison permettant de les utiliser.
Un pirate qui ne posséderait que les six premiers chiffres de la carte — qui sont toujours les mêmes, puisqu’ils identifient la banque et le sort de carte — pourrait obtenir toutes les informations nécessaires à un achat frauduleux en moins de six secondes.
Seul le réseau de Visa était vulnérable, selon les chercheurs, puisque le réseau centralisé de MasterCard a détecté les attaques après moins de dix tentatives, même si elles avaient été réparties sur plusieurs websites.
Les chercheurs conseillent de n’utiliser qu’une seule carte pour toutes les transactions en ligne, et de réduire au most la limite qui y est associée. Ils recommandent également de surveiller attentivement les relevés à la recherche de transactions étranges.
Les conclusions de cette étude ont été publiées par le journal IEEE Safety & Privateness.
Comments