Des chercheurs anglais ont démontré que les cartes Visa comportaient deux failles importantes. © AFP Voler les données d’une carte de crédit ou de débit en seulement 6 secondes ? C’est possible ! Des chercheurs en sécurité de l’Université de Newcastle l’ont démontré il y peu. Cependant, cette possibilité ne toucherait pour l’instant que les cartes Visa. En effet, il s’avère que les données des MasterCard seraient plus difficiles à dérober. En fait, ce type de vol est rendu possible par deux faits. Le premier est que Visa ne limite pas le nombre de tentatives pour accéder aux données à l’inverse de MasterCard qui bloque, quel que soit le site sur lequel la carte est utilisée, à 10 tentatives le nombre d’essais. Ce qui signifie qu’une attaque de force brute sur une carte Visa finira par révéler les données qu’elle contient. Le second problème est le suivant : les sites de ventes demandent à l’utilisateur de remplir des champs relatifs au numéro de carte de crédit, à la date d’expiration de cette dernière, etc. Il suffira alors aux pirates de collecter les données de différents sites pour obtenir les informations complètes d’une carte de crédit. Qui plus est, ceci ne prendrait que six secondes à un ordinateur. Concrètement, les chercheurs affirment que la machine aura besoin de 60 tentatives avant de parvenir à obtenir la date d’expiration d’une carte de crédit et de 1000 essais pour identifier le code CVV. Rappelons que même si l’opération nécessitait plus de temps, cela ne serait pas un problème puisque les tentatives ne sont pas limitées par Visa. A cette étude, Visa répond que les multiples niveaux de prévention de la fraude ne sont pas pris en compte par les chercheurs dont il est question dans cet article : “Visa s’engage à maintenir la fraude à un niveau bas et travaille en étroite collaboration avec les émetteurs de cartes et les acquéreurs pour rendre très difficile l’obtention et l’utilisation illégale des données des titulaires de carte.” A cela, la société ajoute qu’elle effectue également un travail de prévention afin de protéger ses clients : “Nous fournissons aux émetteurs les données nécessaires pour prendre des décisions éclairées sur le risque des transactions. Il existe aussi des mesures que les commerçants et les émetteurs peuvent prendre pour contrecarrer les tentatives d’attaques en force.” Enfin, Visa félicite tout de même les universités qui mettent en évidence les lacunes de leur système afin de pouvoir, à l’avenir, mieux s’y préparer. Ci-dessous, la démonstration des chercheurs en vidéo :