Des chercheurs de l’Université de Newcastle ont mis au point un système permettant de récupérer le numéro de carte bancaire, la date de validité ainsi que le cryptogramme visuel (CCV) en moins de 10 secondes.
En effet, lorsqu’on veut régler un achat sur un site de e-commerce avec sa carte bleue, il faut généralement renseigner le numéro de la carte, la date de validité et le cryptogramme, les trois chiffres situés sur le dos de la carte. Cependant, ces informations pourraient être aisément récupérées par une personne malintentionnée équipée d’un ordinateur connecté à Internet. Des chercheurs britanniques en ont fait la démonstration et il ne leur a fallu que quelques secondes pour dérober ces informations.
Les pirates utilisent ensuite un bot qui va interroger des sites de e-commerce afin de tester différentes combinaisons. Il suffit d’une soixantaine d’essais pour trouver la date de validité. Quant au code CCV, au bout de 1000 tentatives maximum, il est trouvé. L’opération ne dure que quelques secondes et voilà nos pirates en possession de toutes les informations nécessaires pour effectuer des achats frauduleux.
À noter que Visa n’a pas tardé à s’exprimer sur le sujet, selon la compagnie, les chercheurs n’avaient « pas pris en compte les multiples niveaux de protection existant contre la fraude ». Elle affirme en outre « travailler en étroite relation avec les émetteurs de carte et les distributeurs pour rendre très difficile l’obtention et l’utilisation illégale des données des cartes bancaires ». Elle veut enfin rassurer les consommateurs en leur rappelant que «si leur numéro de carte est utilisé de manière frauduleuse, ils sont exemptés de toute responsabilité ».