![\"\"](\"https:\/\/korben.info\/cdn-cgi\/image\/width=1200,fit=scale-down,quality=90,f=avif\/carte-bancaire-brute-force\/carte-bancaire-brute-force-1.jpeg\")
<\/p>\nQuand j’ach\u00e8te un truc avec ma CB, c’est vrai que j’\u00e9vite maintenant de demander le ticket de carte bancaire. \u00c7a ne me sert \u00e0 rien, et puis j’en fais quoi apr\u00e8s\u00a0? Je le jette \u00e0 la poubelle ?<\/p>\n
Heureusement qu’il n’y a pas de donn\u00e9es confidentielles dessus et que tous les chiffres de ma CB sont masqu\u00e9s avec des petites \u00e9toiles sauf une partie, g\u00e9n\u00e9ralement les 4 derniers, qui sont en clairs \u00e9videmment.<\/p>\n
Bref, tout roule, nan ? H\u00e9 bien noooon, parce que Metin Ozyildirim, un chercheur en s\u00e9curit\u00e9, vient d’expliquer sur son site comment ces \u00e9toiles en fait c’est pas vraiment un secret.<\/p>\n
<\/p>\n
En fait, quand vous effectuez un achat en ligne, le marchand pose une question \u00e0 votre banque pour valider la carte, du genre “hey Cr\u00e9dit Agricole, est ce num\u00e9ro existe ?” et la banque r\u00e9pond connement oui ou non.<\/p>\n
Et le souci c’est que cette question, n’importe qui peut la poser<\/strong> depuis n’importe o\u00f9 dans le monde, en testant des num\u00e9ros au pif jusqu’\u00e0 tomber sur le bon. C’est ce qu’on appelle du brute force, et avec une bonne machine et une connexion correcte, \u00e7a permet de tourner tranquillement \u00e0 la fr\u00e9quence de 6 tentatives par seconde, soit environ 130 000 essais possibles \u00e9tal\u00e9s sur une nuit. C’est donc tr\u00e8s largement assez pour reconstituer les chiffres manquants quand on n’en a que 6 \u00e0 deviner.<\/p>\n Et surtout, il arrive parfois que le marchand soit un peu trop bavard. Par exemple si vous tapez un mauvais num\u00e9ro, il vous r\u00e9pond “Cette carte de cr\u00e9dit n’est pas valide<\/em>“<\/em>. Si la date d’expiration est fausse, il vous dit gentiment “Cette carte a expir\u00e9<\/em>“<\/em>. Et si le CVV est faux ? “Le code CVV n’est pas correct<\/em>“<\/em>.<\/p>\n Comme le dit Metin dans son post, ce genre d’indice aide carr\u00e9ment \u00e0 bruteforcer les infos de la CB. Bah oui, si le marchand vous confirme noir sur blanc que vous \u00eates \u00e0 3 chiffres pr\u00e8s du jackpot, pourquoi s’arr\u00eater hein ? C’est un peu comme dans ces films o\u00f9 y’a un gars qui braque un coffre-fort qui fait “clic”<\/em> \u00e0 chaque bon chiffre.<\/p>\n Et comme \u00e7a donc que Metin Ozyildirim s’est fait piller son compte bancaire il y a environ 1 an. L’attaquant a fait tourner son bruteforce comme \u00e7a dura,t 6 heures, en r\u00e9partissant ses requ\u00eates sur plusieurs sites e-commerce diff\u00e9rents pour passer sous les radars.<\/p>\n Et une fois la carte compl\u00e8te reconstitu\u00e9e, restait plus qu’\u00e0 d\u00e9penser le pognon ! Et l\u00e0 pareil, certains marchands acceptent encore les paiements sans demander la double authentification 3D Secure. Ces marchands l\u00e0, ce sont eux qui payent en cas de fraude, car ils prennent le risque. L’attaquant a juste eu \u00e0 choisir un de ces marchands “hack-friendly”, et a transf\u00e9r\u00e9 l’argent vers un porte-monnaie \u00e9lectronique, qu’il a ensuite converti en cash.<\/p>\n Et voil\u00e0 comment le plafond de la carte de Metin \u00e9tait \u00e0 z\u00e9ro avant qu’il ait termin\u00e9 son premier caf\u00e9 du matin !<\/p>\n La bonne nouvelle, c’est que la banque l’a rembours\u00e9. Par exemple en France, vous avez 13 mois pour contester une transaction frauduleuse via votre banque. C’est un droit et pas une faveur hein ! Mais si la banque consid\u00e8re que vous avez \u00e9t\u00e9 n\u00e9gligent (carte pr\u00eat\u00e9e, code partag\u00e9, phishing \u00e9vident…etc), elle peut tout a fait refuser le remboursement, donc gardez des preuves et contestez vite !<\/p>\n Maintenant, la mauvaise nouvelle, c’est que ce qui est arriv\u00e9 \u00e0 Metin est de plus en plus fr\u00e9quent. Bref, y’a pas grand chose \u00e0 faire de notre c\u00f4t\u00e9 pour nous prot\u00e9ger de \u00e7a, si ce n’est d’activer les notifs de notre banque sur chaque transaction, configurer le plafond le plus bas possible (sans que ce soit g\u00e9nant), et quand votre banque vous propose une carte virtuelle \u00e0 usage unique pour les achats en ligne, n’h\u00e9sitez pas \u00e0 l’utiliser.<\/p>\n Et la prochaine fois que vous laisserez tra\u00eener un re\u00e7u de CB sur la table d’un resto, dites-vous que vous offrez peut-\u00eatre un acc\u00e8s \u00e0 votre compte au prochain margoulin qui passe !<\/p>\n![\"\"](\"https:\/\/korben.info\/cdn-cgi\/image\/width=1200,fit=scale-down,quality=90,f=avif\/carte-bancaire-brute-force\/carte-bancaire-brute-force-2.png\")
<\/p>\n
\nVisa a m\u00eame document\u00e9<\/a>
\nque ce genre d’attaques explose, et que la majorit\u00e9 des sites e-commerce sont mal prot\u00e9g\u00e9s contre ce genre de bots qui font tourner ces scripts de bruteforcing.<\/p>\n