La disparité des mesures de sécurité mises en place par les sites marchands pour vérifier les paiements par carte pose le cadre idéal à une fraude massive par le biais d’attaques distribuées.
C’est, en substance, le constat qu’établissent un doctorant et trois enseignants-chercheurs de l’université de Newcastle dans un rapport – document PDF, 9 pages – publié la semaine passée.
Aamir Ali, Budi Arief, Martin Emms et Aad van Morsel se sont intéressés aux 400 premiers e-commerçants figurant dans le classement publié par la société Alexa (groupe Amazon).
Ils ont conclu à l’existence, dans la chaîne du paiement en ligne, de deux faiblesses qui, exploitées conjointement, mettent potentiellement en danger tous les porteurs de cartes, tout du moins celles émises par Visa.
Dans l’absolu, la gestion et le stockage sécurisés des informations de cartes est garanti par la norme PCI DSS (Payment Card Industry Data Security Standard). Mais pour le cyberacheteur, la procédure de paiement peut être radicalement différente d’un site à l’autre : il lui faudra parfois renseigner jusqu’à son adresse postale… quand dans d’autres cas, donner son nom et son numéro de carte (le PAN, à 16 chiffres) suffiront.
Cette fragmentation, additionnée au fait que le réseau Visa n’est pas capable de détecter des requêtes invalides simultanées pour une même carte sur différents sites – peut entraîner des attaques « en cascade ».
Les chercheurs sont partis du PAN, systématiquement demandé. Ce genre d’information peut se trouver sur le marché noir ou à la rigueur être récupérée par la technique dite du « skimming », c’est-à-dire « l’aspiration » de données via la technologie sans contact.
Pour deviner la date d’expiration d’une carte, il faut au plus 60 tentatives, la validité ne dépassant généralement pas 5 ans. Des « tentatives » qui peuvent se faire en même temps sur plusieurs sites marchands ne vérifiant que cette information en plus du PAN.
Une fois la date d’expiration obtenue, on l’associe au PAN et on tente de deviner, sur le même principe (donc à travers un site marchand ne demandant pas d’autres informations), le cryptogramme, du nom de code de vérification à trois chiffres situé au dos de la carte.
Dans ce cadre, il faut au plus 1 000 tentatives, là où il pourrait en falloir jusqu’à 60 000 si tous les sites demandaient de renseigner PAN, date d’expiration et cryptogramme, comme le soulignent les chercheurs.
Dans le cas où l’adresse est requise, c’est plus compliqué. Il existe néanmoins des bases de données comme BidDb et ExactBins qui permettent, en renseignant les 6 premiers chiffres du PAN, d’obtenir la banque émettrice. De quoi restreindre la plage de recherche pour le code postal, dont certains sites se contentent dans leur procédure de vérification.
Qu’en est-il dans la pratique ? Un bot développé pour l’occasion est parvenu à récupérer des informations de carte, à créer un compte et à l’alimenter en fonds transférés vers l’Inde, puis retirés sur place. Le tout en moins d’une demi-heure, sans que la banque ait pu réagir.
La réussite de l’attaque tient au fait que des centaines d’instances du bot ont pu être exécutées simultanément sur des centaines de sites sans déclencher d’alerte sur le réseau de paiement. Ou plus exactement chez Visa : du côté de MasterCard, les assauts sont repérés après moins de 10 tentatives.
Sur les 36 sites contactés à la suite de cette expérience, 8 ont modifié leurs paramètres de sécurité dans les 4 semaines. Certains ont ajouté des champs à renseigner par l’utilisateur. D’autres ont rallongé le délai de traitement des requêtes (2 secondes en moyenne sinon) après trop d’erreurs. Ou encore introduit une limitation du nombre de tentatives de saisie en fonction de l’adresse IP (sur les 389 sites mis à l’épreuve, 6 n’imposaient, au moment des tests, aucune limite en la matière).
Deux sites sont allés jusqu’à mettre un captcha, finalement remplacé par un filtrage IP, sur conseil des chercheurs, qui craignaient un impact sur l’expérience utilisateur. Pour ce qui est du système 3DSecure, on repassera : seulement 47 e-commerçants l’avaient implémenté à l’heure où le rapport a été rédigé.
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…