Le temps que vous lisiez le début de cet article, un hacker aurait déjà fini de pirater votre carte bancaire. C'est du moins ce qu'indique une récente étude de NordVPN, basée sur les données de 4,5 millions de cartes bancaires piratées.
6 secondes. Et pas une de plus. C'est le temps qu'il faut à un pirate informatique pour hacker une carte bancaire, selon les résultats d'une étude NordVPN (1). L'entreprise s'est récemment intéressée à 4,5 millions de cartes bancaires, provenant de 140 pays, dont les données ont fuité sur le Dark Web. Et les résultats font froid dans le dos.
« Pour qu'un nombre aussi élevé de cartes bancaires apparaissent sur le Dark Web, les cybercriminels ont très probablement utilisé l'attaque par force brute », explique Marijus Briedis, directeur technique chez NordVPN. Le concept ? Les hackers mobilisent de la puissance de calcul pour tenter de deviner les 16 chiffres inscrits sur votre carte bancaire.
Et la tâche n'est pas si compliquée qu'il n'y paraît. « Les 6 ou 8 premiers chiffres sur votre carte correspondent à son émetteur. Il ne reste donc que 7 à 9 chiffres à déterminer, car le 16ème et dernier chiffre est un code d'authenticité qui permet de vérifier que la saisie est correcte grâce à l'algorithme de Luhn », reprend Marijus Briedis.
Ce que signifient les 16 chiffres inscrits sur votre carte bancaire
1 milliard de combinaisons
Pour deviner les 9 chiffres manquants, les hackers doivent essayer environ 1 milliard de combinaisons. Or, « cela ne prend qu'une minute pour un ordinateur ordinaire, qui est capable de tester environ 25 milliards de combinaisons par heure », indique Marijus Briedis. Pire : selon l'émetteur de la carte, un escroc peut n'avoir que sept chiffres à deviner, auquel cas, 6 secondes suffisent.
En théorie du moins, car pour éviter ce type d'attaque, la plupart des émetteurs limitent le nombre de tentatives de saisie autorisées dans un laps de temps donné. Le réseau Mastercard est par exemple équipé d'un système d'authentification centralisé. Résultat ? Les pirates n'ont le droit qu'à une dizaine d'essais sur un même numéro avant d'être bloqués.
Toutefois, les criminels trouvent parfois le moyen de contourner ces mesures de sécurité. « Dans le cas du système de sécurité de Visa, un malfaiteur peut essayer 30 à 40 fois, voire plus. Et s'il choisit le bon moment de la journée, quand il y a beaucoup de monde, il peut essayer beaucoup plus de fois parce que le système est décentralisé », précise NordVPN. Sans doute est-ce la raison pour laquelle plus de la moitié des 4,5 millions de cartes de paiement piratées étaient des cartes Visa.
Carte bancaire : voici la nouvelle fraude qui menace votre compte
Mesures de précaution
A ce jour, il n'existe pas de parade infaillible pour éviter que les numéros de votre carte bancaire ne se retrouvent exposés sur le Dark Web. Plusieurs dispositions peuvent toutefois vous aider à réduire les risques.
« Passez en revue votre relevé de compte mensuel pour détecter toute activité suspecte et répondez rapidement et sérieusement à toute notification de votre banque indiquant une potentielle utilisation frauduleuse de votre carte », recommande par exemple Marijus Briedis.
Pour aller plus loin, vous pouvez aussi prévoir un compte bancaire séparé pour vos achats en ligne, sur lequel vous ne conservez que de petites sommes d'argent. Certaines banques proposent également des cartes virtuelles à usage unique. Une fois votre paiement effectué, la carte ne peut plus être utilisée, ce qui limite les risques de fraude.
(1) Les données ont été compilées en partenariat avec des experts indépendants en recherche d'incidents de cybersécurité, à partir d'une base de données qui contenait les détails de 4 478 908 cartes de paiement.
