
Oui ce n’est pas une blague et ça fait froid dans le dos ! Un développeur vient de raconter comment sa carte bancaire a été piratée sans que les pirates aient eu accès à toutes ses informations. Ça fait peur non ? Attendez de lire la suite…
La faille vient d’un endroit où personne ne regarde : les reçus de caisse et les sites e-commerce. Le fonctionnement est simple. Quand vous payez en ligne ou dans une boutique, les normes de sécurité bancaires appelées PCI DSS autorisent les commerçants à afficher les six premiers chiffres et les quatre derniers de votre carte. Incroyable ! Et le plus fou, même la date d’expiration est visible.
Ces infos apparaissent sur vos reçus et dans votre espace client en ligne. En théorie c’est safe. En pratique c’est une tout autre histoire.

A receipt, that i used to ignore. Depicting quite generous amount of data.
Une carte bancaire a 16 chiffres. Les 6 premiers identifient votre banque et sont donc connus. Les 4 derniers sont visibles. Il reste donc seulement 6 chiffres au milieu à trouver. Et avec un algorithme de calcul on peut réduire les possibilités à environ 99 000 combinaisons. Pas grand chose pour un ordinateur. Et c’est là que ça devient vraiment inquiétant. Certains systèmes bancaires vous disent précisément si c’est le numéro de carte, la date d’expiration ou le cryptogramme qui est incorrect. Autrement dit ils aident les hackers à deviner les informations manquantes une par une. En testant à raison de 6 requêtes par seconde via des proxies différents, les pirates ont réussi à reconstituer les informations complètes de la carte en seulement 6 heures.
Deux conseils très simples pour vous protéger. Ne jetez jamais vos reçus de caisse sans les déchirer, même les petits tickets de supermarché. Et activez le 3D Secure sur toutes vos cartes si ce n’est pas déjà fait, c’est la validation par SMS qui ajoute une couche de protection indispensable.
Le plus choquant dans tout ça ? Les banques, les commerçants et les développeurs de systèmes de paiement connaissent cette faille depuis longtemps. Et personne ne bouge vraiment.
Partagez cette info autour de vous, ça peut vraiment éviter des arnaques !


Laisser un commentaire