Paiement en ligne : la sécurité du réseau Visa en question

E-commerceE-paiementMarketingSécurité
securite-paiement-ligne

Des chercheurs évoquent un risque d’attaques « en cascade » contre les porteurs de cartes bancaires au travers des sites marchands. Visa est en première ligne.

La disparité des mesures de sécurité mises en place par les sites marchands pour vérifier les paiements par carte pose le cadre idéal à une fraude massive par le biais d’attaques distribuées.

C’est, en substance, le constat qu’établissent un doctorant et trois enseignants-chercheurs de l’université de Newcastle dans un rapport – document PDF, 9 pages – publié la semaine passée.

Aamir Ali, Budi Arief, Martin Emms et Aad van Morsel se sont intéressés aux 400 premiers e-commerçants figurant dans le classement publié par la société Alexa (groupe Amazon).

Ils ont conclu à l’existence, dans la chaîne du paiement en ligne, de deux faiblesses qui, exploitées conjointement, mettent potentiellement en danger tous les porteurs de cartes, tout du moins celles émises par Visa.

Chacun sa méthode

Dans l’absolu, la gestion et le stockage sécurisés des informations de cartes est garanti par la norme PCI DSS (Payment Card Industry Data Security Standard). Mais pour le cyberacheteur, la procédure de paiement peut être radicalement différente d’un site à l’autre : il lui faudra parfois renseigner jusqu’à son adresse postale… quand dans d’autres cas, donner son nom et son numéro de carte (le PAN, à 16 chiffres) suffiront.

Cette fragmentation, additionnée au fait que le réseau Visa n’est pas capable de détecter des requêtes invalides simultanées pour une même carte sur différents sites – peut entraîner des attaques « en cascade ».

Les chercheurs sont partis du PAN, systématiquement demandé. Ce genre d’information peut se trouver sur le marché noir ou à la rigueur être récupérée par la technique dite du « skimming », c’est-à-dire « l’aspiration » de données via la technologie sans contact.

Pour deviner la date d’expiration d’une carte, il faut au plus 60 tentatives, la validité ne dépassant généralement pas 5 ans. Des « tentatives » qui peuvent se faire en même temps sur plusieurs sites marchands ne vérifiant que cette information en plus du PAN.

Où est la banque ?

Une fois la date d’expiration obtenue, on l’associe au PAN et on tente de deviner, sur le même principe (donc à travers un site marchand ne demandant pas d’autres informations), le cryptogramme, du nom de code de vérification à trois chiffres situé au dos de la carte.

Dans ce cadre, il faut au plus 1 000 tentatives, là où il pourrait en falloir jusqu’à 60 000 si tous les sites demandaient de renseigner PAN, date d’expiration et cryptogramme, comme le soulignent les chercheurs.

Dans le cas où l’adresse est requise, c’est plus compliqué. Il existe néanmoins des bases de données comme BidDb et ExactBins qui permettent, en renseignant les 6 premiers chiffres du PAN, d’obtenir la banque émettrice. De quoi restreindre la plage de recherche pour le code postal, dont certains sites se contentent dans leur procédure de vérification.

Des bots et des captchas

Qu’en est-il dans la pratique ? Un bot développé pour l’occasion est parvenu à récupérer des informations de carte, à créer un compte et à l’alimenter en fonds transférés vers l’Inde, puis retirés sur place. Le tout en moins d’une demi-heure, sans que la banque ait pu réagir.

La réussite de l’attaque tient au fait que des centaines d’instances du bot ont pu être exécutées simultanément sur des centaines de sites sans déclencher d’alerte sur le réseau de paiement. Ou plus exactement chez Visa : du côté de MasterCard, les assauts sont repérés après moins de 10 tentatives.

Sur les 36 sites contactés à la suite de cette expérience, 8 ont modifié leurs paramètres de sécurité dans les 4 semaines. Certains ont ajouté des champs à renseigner par l’utilisateur. D’autres ont rallongé le délai de traitement des requêtes (2 secondes en moyenne sinon) après trop d’erreurs. Ou encore introduit une limitation du nombre de tentatives de saisie en fonction de l’adresse IP (sur les 389 sites mis à l’épreuve, 6 n’imposaient, au moment des tests, aucune limite en la matière).

Deux sites sont allés jusqu’à mettre un captcha, finalement remplacé par un filtrage IP, sur conseil des chercheurs, qui craignaient un impact sur l’expérience utilisateur. Pour ce qui est du système 3DSecure, on repassera : seulement 47 e-commerçants l’avaient implémenté à l’heure où le rapport a été rédigé.

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur