Combien de temps faut-il pour pirater une carte bancaire ?

16 août 2022 à 17h00
29
© Pixabay
© Pixabay

Six secondes. C'est le temps minimum qu'il faut pour craquer une carte bancaire, d'après des chercheurs de l'université de Newcastle. Et une analyse faite par NordVPN vient étayer tout cela en nous apprenant que craquer une carte bancaire, ce n'est pas si difficile que ça.

Le VPN mondialement connu explique à travers son étude comment les coordonnées de 4 millions de cartes bancaires ont été craquées. Celles-ci sont disponibles à la vente sur le dark web.

Attaque par force brute

Pour commencer, si vous pensez que vos coordonnées bancaires sont en sécurité sur votre carte, vous avez tout faux. Désormais, il n'est plus nécessaire de voler les cartes en elles-mêmes pour pouvoir les utiliser sur Internet. Il est possible d'aller acheter les détails d'une carte volée pour environ 10 euros sur le dark web. Et aujourd'hui, ce sont des millions de cartes hackées qui sont disponibles à la vente.

Comment font-ils ? Les hackers qui en veulent à nos cartes bancaires utilisent en majorité les attaques par force brute. Cela consiste à essayer une myriade de combinaisons de chiffres depuis un logiciel automatisé dont le format est déterminé par le modèle de carte bleue que le hacker cherche à craquer. Le logiciel peut proposer plusieurs milliers de combinaisons différentes en une seconde. Comme il ne cherche pas la carte d'une personne en particulier, les probabilités de tomber sur une carte existante sont élevées.

Comment se protéger ?

Après avoir analysé la méthode des pirates de cartes bleues, NordVPN a rassemblé des statistiques sur le vol des données bancaires. Les cartes VISA seraient le plus souvent piratées, et les cartes de débit sont plus à risque, car moins bien protégées. Certains pays sont plus exposés que d'autres. Ainsi, la Turquie et l'Australie ont un risque élevé de vols, tandis que la Russie et la Chine ont un risque plus faible.

NordVPN a aussi dispensé des conseils sur comment éviter ce genre d'attaques. Tout d'abord, il s'agit de rester vigilant : surveillez vos dépenses. Utilisez l'authentification à deux facteurs, de façon à recevoir un SMS ou un e-mail pour chaque transaction effectuée en ligne depuis votre carte bancaire. Finalement, assurez-vous contre ce genre de fraudes.

Source : NordVPN

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (29)

Orezzo
NordVPN « paye une étude » pour qu"on parle de lui gratuitement dans les News Tech<br /> la boucle est blouclée
Bombing_Basta
« Finalement, assurez-vous contre ce genre de fraudes ».<br /> Pour payer une deuxième fois une protection qui vient avec toute carte bancaire ?<br /> service-public.fr<br /> Fraude à la carte bancaire<br /> En cas de fraude à la CB, vous pouvez faire opposition en cas de détournement, vol ou piratage et faire le signaler : perceval (ou percev@l)<br /> quechoisir.org<br /> Fraude à la carte bancaire – Vos droits et les conseils de l'UFC-Que…<br /> Sur votre relevé bancaire, vous avez découvert une ou plusieurs opérations suspectes. Après vérification, vous êtes certain de ne pas en être à l’origine. Vous souhaitez savoir comment obtenir le…<br />
tux.le.vrai
Ma banque me fourni pour chacun des mes achats, des numéros de carte bleue, jetables, qui ne peuvent être utilsés qu’une seule fois (à moins que je précise montant récurrent pour les abonnements)<br /> c’est une bonne solution je trouve.
negima
Pas une seule fois, une infinité de fois jusqu’à ce que le montant dédié soit atteint. Sinon, les achats sur Amazon ne marcherait pas si t’as plusieurs articles. Amazon n’envoie pas tous les articles en même temps si tu prends plusieurs articles. Amazon débite à l’expédition pour chaque envoi.
vbond007
Je trouve cet article très limite.<br /> En fait il ne sert à rien car pas assez détaillé, il ne dit que des choses approximatives et à moitié vraies (ou à moitié fausses).<br /> Effectivement il doit être facile de générer un code de carte bleu valide, mais les banques tentent de trouver des solutions pour s’assurer que c’est le bon utilisateur qui effectue un achat.<br /> Rien n’est jamais inviolable certes, mais les choses ne sont pas non plus aussi faciles que ce que NordVPN (qui a le mérite de trouver des moyens détournés pour faire parler de lui) veut bien nous faire croire.<br /> Ce qui me gène c’est que Clubic est complice de cette publicité déguisée.
jardinero
Ufc que choisir a publié récemment la liste des banques qui refusent ,de façon plus ou moins subtile ,de rembourser les fraudés.<br /> Et ce malgré la loi …<br /> En tablant sur les frais de justice et les délais.<br /> Et ils font appel en plus !<br /> Au pire ainsi ils remboursent peut être 10% des vols ,à mon avis .
zoup01
J’ai été piraté une fois , il y a au moins 15 ans, je n’ai jamais su d’où cela a pu venir (3000€ en 2 achats au Mozambique, depuis , je sais où c’est )…<br /> Après signalement, ma banque ( postale à l’époque) m’a remboursé au bout de 15 jours environ.<br /> Je pense effectivement à un numéro de CB généré au hasard.
luck61
le systeme e-carte bleue est bien , ça génère un numero avec un montant déterminé par l’acheteur et ce numéro est utilisable qu’une seule fois après il est inutilisable, ça fait 15 ans que j’utilise ce service pour mes achats internet et RAS
_Reg24
Sur ma carte de crédit, je l’ai liée avec l’app de la banque, et j’ai paramétré que chaque transaction me fasse une notification sur le mobile, ce qui en cas d’un truc suspect, me permet de la bloquer sur le champ!
yam103
La meilleure protection que peut offrir la banque est celle des cartes virtuelles: 1 numéro de carte à usage unique ou pour maximum 1 fournisseur. Comme cela, même si un site se fait pirater mon numéro de carte, elle est inutilisable ailleurs.<br /> A noter aussi, que l’on peut désactiver le numéro de la carte physique pour toute transaction sur le web, ce qui évite le vol du numéro avec le cryptogramme par des collègues indélicats ou par les enfants.
Aegis
Ce type d’attaques est très courante et difficile à parer. Fait une recherche sur card testing attack pour te renseigner.<br /> Un article intéressant sur le sujet : Card Testing Fraud: Identify and Stop Fraud Attacks
ar-s
Les générateur de num de carte bleu existent depuis des LUSTRES.
Mecano
Les banques doivent aussi s’assurer que le client ne déclare pas un piratage pour obtenir en fait le remboursement d’un achat fait par le petit dernier qui a utilisé la carte bleue parentale.<br /> D’où quelques vérifications comme vérifier que l’achat a été effectué sans authentification forte. Ce qui enlève l’automatisme du remboursement.
MattS32
negima:<br /> Pas une seule fois, une infinité de fois jusqu’à ce que le montant dédié soit atteint.<br /> Ça dépend comment la banque gère son système.<br /> Il y en a qui autorisent un nombre illimité de transactions, tant que le plafond et/ou la date limite de validité n’est pas atteint (il n’y a pas forcément de plafond de montant), et en n’autorisant que des transactions venant du même tiers (la première transaction verrouille sur un tiers), mais il y en a a bien aussi que limitent à une seule transaction.<br /> Et ça n’empêche pas Amazon de fonctionner, car même s’il débite ta commande en plusieurs fois, du point de vue du système CB c’est une transaction unique : il effectue une transaction au moment de la commande, couvrant le montant totale de la commande, mais sans la débiter immédiatement. Ensuite au fil des exceptions, il renvoie au système CB l’identification de la transaction initiale pour débloquer les fonds.<br /> Pour avoir testé chez différentes banques, mon expérience est :<br /> Crédit Mutuel : au choix, usage unique plafonné à un montant, usage multiples plafonné à un montant sans verrouillage sur le tiers de la première utilisation.<br /> Fortuneo : usages multiples plafonné à un montant, avec une durée de validité au choix et limité à un tiers,<br /> Aumax : usages multiples plafonné à un montant, avec durée de validité au choix et limité à un tiers,<br /> Revolut : usage unique sans limite de montant ni choix de la durée de validité (un nouveau numéro valable 5 ans est automatiquement généré dès que le précédent est utilisé), limité à une seule transaction.<br /> ar-s:<br /> Les générateur de num de carte bleu existent depuis des LUSTRES.<br /> Et ça fait aussi des lustres qu’un générateur de numéro de CB n’a quasiment aucune chances de générer un numéro utilisable.<br /> Car outre le fait qu’il faut générer un numéro de carte qui existe (il y a pour chaque émetteur 100 milliards de numéros possible, dont seulement quelques millions à quelques dizaines de millions sont valables à un instant t… si on a un émetteur qui a un parc de 10 millions de cartes actives, ça fait une chance sur 10 000 qu’un numéro généré soit bon), il faut aujourd’hui aussi générer le bon CVV qui va avec (le CVV est totalement indépendant du numéro de la carte, donc 1000 possibilités) et le plus souvent aussi la bonne date de validité (60 possibilités si on table sur une durée maximum de 5 ans…). Ce qui fait que les chances qu’un numéro généré avec son CVV et sa date de validité soit valide sont de l’ordre de une chance sur 600 millions pour un émetteur dont le parc de cartes actives est de l’ordre de 10 millions d’unités.<br /> Au final un générateur ne va quasiment marcher que dans un cas : un site qui au lieu de faire une demande d’autorisation immédiate à la banque va simplement vérifier la validité théorique du numéro de CB (dernier chiffre calculé en fonction des précédents), stocker le numéro de CB et ne le présenter que plus tard à la banque. Aujourd’hui les sites fonctionnant encore comme ça sont quasi inexistants.<br /> Si tu as un jour une transaction frauduleuse sur ta CB, l’hypothèse que ton numéro ait été généré par un générateur est donc vraiment très loin d’être la plus probable, il y a de fortes chances qu’il y ait eu un problème à un autre niveau (keylogger, transaction en ligne mal sécurisée, numéro stocké en clair dans une base de données pas assez protégée, commerçant fraudeur parmi ceux chez qui tu as utilisé la carte physique, relevé de ton numéro par quelqu’un qui t’as vu utiliser la carte physique, etc…).
bennukem
Bah oui la Chine est bien « protégé », ils utilisent du cash ou WeChat.
Garden_Dwarf
Je me suis fait voler ma carte bancaire, mais j’ai décidé de ne pas porter plainte et de ne pas la faire bloquer quand je me suis aperçu que le voleur dépensait moins que ma femme !
bneben
Ca manque d’explication, il faut le CVV valide, et une date valide aussi.<br /> Le tout sur une carte « active »…<br /> Ca doit etre bien plus compliqué que ce que dit l’article.
qotzo
pour ceux qui se croient à l’abris avec leur carte virtuelle : votre carte virtuelle est liée à une carte réelle, avec un vrai numéro réel de chez réel non ?<br /> Avec les techniques d’attaque par force brute, peu importe que votre carte virtuelle soit trouvée ou pas. C’est votre carte réelle qui sera trouvée.
NickGTT172
Pour limiter les risques pensez à :<br /> Baisser les plafonds de paiements de vos CB.<br /> Baisser le montant d’autorisation de découvert (Proche de 0€)<br /> Ne laissez pas beaucoup de liquidités sur votre compte courant.<br />
crush56
Ca dépend du service et de la banque.<br /> Mon ancienne banque chaque numéro n’était utilisable qu’une fois et avec un montant inférieur au plafond.<br /> Et je me servais effectivement de ce système pour éviter les abonnements non désirés
xryl
Normalement, tout commerçant qui accepte VISA dispose d’un service de détection de fraude fourni par Visa (compris dans le coût de la transaction). Notamment, il s’agit de valider le nom du porteur de la carte (information impossible à fabriquer « aléatoirement »), et le CVV (qui lui est testable, vu qu’il n’y a que 1000 combinaison possibles). Le numéro de la carte à 16 chiffres a une entropie très faible (vu que les chiffres suivent un algorithme de « somme de contrôle », les 4 premiers sont spécifiques à une banque donc connus). La date de validité, c’est en gros 24 valeurs possibles, avec une bonne moyenne sur seulement 12 valeurs.<br /> Bref, trouver des numéros de cartes qui existent, je pense que c’est possible aléatoirement. Qui soient valides pour le numéro + date + CVV, aussi (mais plus dur, vu qu’il faut tester de réaliser une transaction pour ça, donc on est limité par le débit). Mais passer le test du nom de la personne en plus, là c’est coton, et normalement, VISA doit refuser ou au moins, marquer comme suspect la transaction.
jcc137
Le CVV est le résultat d’une formule avec les arguments N° CB et Date limite. La formule est connue des craqueurs, et donc facile à générer.
MattS32
Absolument pas. La raison même de l’existence du CVV, c’est justement de renforcer la sécurité de la carte avec une information supplémentaire indépendante des autres et marquée physiquement de l’autre côté de la carte (même si certains font maintenant une entorse à ce point), notamment pour que quelqu’un qui te voit utiliser la carte ait moins de chance de récupérer toutes les données, mais aussi pour limiter les possibilités d’utiliser un numéro de carte récupéré sur un ticket de paiement (le CVV n’est mentionné ni sur le ticket client, ni sur le ticket commerçant), avec des lecteurs de bande magnétique ajoutés par dessus les fentes des DAB (la bande magnétique de la carte ne contient que le numéro et la date de validité, pas le CVV) ou via lecture sauvage en NFC (là encore, uniquement le numéro de la carte et sa date de validité, pas de CVV, tu peux le vérifier avec n’importe quelle application Android de lecture de CB NFC).<br /> Aux USA, la norme de sécurité PCI-DSS sur les systèmes de paiement interdit même tout stockage du CVV, en dehors de l’émetteur de la carte, alors que le numéro de la carte et sa date de validité peuvent être stocké. Il est évident que si le CVV pouvait être déterminé à partir du numéro et de la date de validité, cette interdiction n’aurait aucun sens…<br /> Enfin, certaines banques fournissent désormais des cartes à CVV dynamique, dont le CVV change à intervalle régulier. Alors que le numéro de la carte et sa date de validité ne changent pas. Ce qui implique là aussi forcément que le CVV ne peut pas être déterminé à partir du numéro et de la date d’expiration.<br /> Tu confonds probablement avec le 16ème chiffre du numéro de CB, qui lui est bien dépendant des 15 précédents, avec un algorithme connu (Luhn). D’où le fait qu’il y a 100 milliard de numéros de carte possibles pour chaque émetteur, et non 1000 milliards : sur les 16 chiffres du numéro de CB, il y a seulement 11 chiffres variables pour chaque émetteur, puisqu’en plus des 4 premiers chiffres fixes (numéro d’émetteur), le dernier est calculé en fonction des 15 autres.
jcc137
Merci pour toutes ces nouvelles infos rassurantes. Les miennes commençaient à dater et je me rends compte qu’elles sont bien caduques, et c’est tant mieux.
vbond007
Petite question à la communauté, puisque je ne m’attends pas à recevoir de réponse de la part de Clubic : quelqu’un sait quels sont les critères idiots de suppression de messages utilisés par les modérateurs dictateurs de ce site?<br /> J’avais mis un simple commentaire disant qu’il était dommage d’avoir une si piètre qualité d’article sur un sujet qui pouvait être intéressant s’il avait été rédigé consciencieusement (les réponses des commentateurs étant bien plus intéressantes que le travail du journaliste).<br /> Et ce message a été supprimé ! Sans explication aucune.<br /> Est-ce simplement la susceptibilité de l’auteur qui a conduit à une telle suppression, ou ai-je dit quelque chose d’interdit?
Palou
vbond007:<br /> ou ai-je dit quelque chose d’interdit?<br /> Ton message faisait suite à la suppression d’un autre, la réponse saute automatiquement
kibaki69
Perso je verrouille ma CB sauf pour l’utiliser ! Pas pratique je reconnais Et j’empêche les achats de l’étranger
Highmac
Excellent !<br /> Pareil pour moi, je laisse trainer mes références bancaires n’importe où !
TotO
Idem. Mais remboursé sous 48h car j’avais une assurance.
zoup01
Tu paies juste une assurance pour rien, la loi impose aux banques de rembourser en cas de fraude ( sans utilisation du code confidentiel)…<br /> Voir 2eme post du sujet.
TotO
LA différence c’est que tu as été rembourcé en 15 jours et tu as du faire une déposition en gendarmerie, moi j’ai appelé le service et ils ont émis de suite le rembourcement que j’ai eu sous 48h, rien de plus. Donc non, je ne paye pas une poignée d’euros par an pour rien…<br /> (même banque et même époque que toi)
MattS32
Une banque qui met 15 jours et exige un dépôt de plainte ne respecte tout simplement pas la loi.<br /> La loi dit que le paiement doit être annulé (et pas simplement remboursé : la loi dit que le compte doit se retrouver dans l’état où il se serait trouvé si la transaction n’avait jamais eu lieu, ce qui implique notamment que tous les frais directs et indirects, par exemple si tu as des opérations qui ont été rejetées pour défaut de provision à cause de la somme manquante, doivent être annulés également) sans délai.<br /> Quand à la plainte, la première fois que ça m’est arrivé je suis allé au commissariat, on m’a expliqué que ce n’était pas à moi de déposer plainte, mais à la banque, car c’est elle la victime (vu que c’est elle qui est responsable des transactions).<br /> Et la banque m’a bien annulé la transaction sans délai (c’était fait avant même qu’ils aient reçu ma confirmation en recommandé de la demande faite en ligne) et sans exiger de papier venant de la gendarmerie ou de la police.
TotO
Oui, ça c’est la théorie. Version en vigueure le 16 août 2022, avec pénalités de retard au dela de 7 jours.
MattS32
Non, le remboursement immédiat est la règle depuis 2001. Et ça a bien été respecté par ma banque en 2013, et ce sans que j’ai souscrit la moindre assurance (et je ne payais même pas la CB).
TotO
La preuve que ce n’est pas effectif, il n’y a pas de pénalités sous 7 jours. La Loi est écrite, mais elle n’est jamais appliquée à la lettre, malheureusement.
MattS32
Simplement parce que le législateur a laissé un peu de tolérance, notamment en cas de délai de traitement (ne serait ce que si la banque reçoit plein de demande en même temps et par exemple en pleine période estivale quand elle tourne en effectif réduit).<br /> Te faire payer une assurance pour réduire ces délais, c’est de l’arnaque pure et simple. En plus comme la banque est responsable de tous les désagréments qui pourraient découler du manque de la somme sur ton compte, c’est son problème si elle met du temps à traiter, ça augmentera SES frais. C’est très généreux de ta part de payer une cotisation pour limiter ça…
TotO
Il n’y a pas d’arnaque à se faire rembourser des milliers d’euros de suite, alors qu’au cas contraire cela peut effectivement prendre des semaines. (Loi ou pas)<br /> Si la banque décide de faire ouvrir une enquête auprès de la police, j’ai lu que l’on pouvait se retrouver sans l’argent pendant 6 semaines… Ca peut vraiment causer préjudice. L’assurance est là en cas d’imprévu et non pour faire respecter la Loi.<br /> Le jour ou en France, la Loi sera respectée à la lettre par les organistes bancaires, je ferai sans.
MattS32
TotO:<br /> Si la banque décide de faire ouvrir une enquête auprès de la police, j’ai lu que l’on pouvait se retrouver sans l’argent pendant 6 semaines… Ca peut vraiment causer préjudice. L’assurance est là en cas d’imprévu et non pour faire respecter la Loi.<br /> Si la banque attend 6 semaines, je le répète, elle ne respecte pas la loi.<br /> Même si elle veut ouvrir une enquête, elle doit d’abord rembourser. Quitte à re-prélever après l’enquête si il s’avère que ta demande de remboursement était injustifiée.<br /> Ces « imprévus » que tu dis couverts par l’assurance, c’est rien d’autre que le non respect de la loi par la banque. Et souscrire l’assurance, c’est cautionner ça et pousser la banque à persister dans ses pratiques.
TotO
Et du coup, tu fais quoi ?<br /> Je la connais la réthorique de « ils ont pas le droit, il y a la Loi » … Sauf que, lorsque ça arrive, et bien tu peux en venir à passer par des avocats pour faire respecter tes droits, etc. Et en attendant, tu n’as pas ton argent sur ton compte, Loi ou pas. Voir même devoir avancer des frais, si tu n’es pas assuré pour te protéger.
MattS32
J’ai une assurance protection juridique. Mais je n’ai jamais eu à en aller jusque là pour faire respecter mes droits, quelques menaces et rappels des textes, au besoin par LRAR ont toujours été suffisants.<br /> Une seule fois j’ai dû aller jusqu’au dépôt d’un recours auprès du tribunal de proximité (pour un litige avec mon opérateur mobile, pas pour une transaction CB frauduleuse), et même là, ça a fini par se régler avant le procès, l’opérateur m’a proposé un accord amiable une fois qu’il a été notifié de mon recours.
TotO
Et une LRAR, ils ont 15 jours pour répondre et donc potentiellement autant de temps pour ne pas rendre ton argent. Tout le monde ne peut pas se le permettre. Si tout allait toujours au mieux dans le meilleur des mondes, je suis d’accord qu’il y a beaucoup de choses que l’on aurait pas besoin de payer en triple pour être tranquile. (ex: assurance rapatriement sur carte bancaire, sur mutuelle, sur assurance habitation)<br /> Enfin, j’ai du passer par la défence juridique de l’assurance auto pour une embrouille avec Audi. Ils ont avancé tous les frais et expertises et les ont fait rembourser (Vice caché). Sans cela, j’avais pour plus de 15K€ à avancer et m’occuper de tout. J’ai juste pris une option à 7€ par an.
MattS32
Ah, ça a peut-être changé depuis, ou alors ma mémoire me joue des tours et je confonds avec d’autres cartes virtuelles. Mais il me semble qu’à l’époque où j’avais un compte chez eux, à partir du moment où la carte avait été utilisée sur un site, seul ce site pouvait faire des opérations sur la carte.
zoup01
À toi de voir si tu aimes faire des cadeaux inutiles à ta banque…
TotO
J’aime surtout ne pas me retrouver avec les soucis de la vie…
TotO
C’est exactement ça.<br /> Et surtout, se sont vraiment des poignées d’euros qui m’ont permis d’être tranquile et me sortir rapidement de soucis qui m’auraient couté beaucoup en temps et argent si je ne l’avais pas fait. (on parle de moins de 5€ par mois, tout cumulé entre la banque et l’automobile).
zoup01
tu peux même donner aux bonnes œuvres des banques si ça t’amuse…<br /> personnellement, ce n’est pas le genre d’organisme auquel j’aime faire des dons.
Voir tous les messages sur le forum