L’attaque Tesco Bank liée à une vulnérabilité de validation des paiements carte ?

Des chercheurs de l’université de Newcastle ont découvert une vulnérabilité des cartes bancaires qui peut être exploitée pour conduire des transactions frauduleuses en ligne. Leur enquête s’est portée sur les systèmes de paiement en ligne des 400 principaux sites de commerce électronique et a révélé une « attaque distribuée » en force brute, pouvant être utilisée pour devenir numéro, date d’expiration ou encore code de sécurité de n’importe quelle carte Visa.

L’attaque consiste à détourner les mécanismes de validation des formulaires de paiement pour aider à la génération de toutes les données requises pour procéder à une transaction en ligne, expliquent les chercheurs dans un rapport. Selon eux, cette méthode a été probablement utilisée à l’encontre des clients de Tesco Bank.

L’astuce consiste à essayer, à chaque champ connu, de deviner le suivant, à partir du formulaire de paiement d’un autre commerçant. L’approche centralisée de la vérification des données cartes de MasterCard permet une détection rapide des opérations frauduleuses de ce type, après moins de 10 tentatives. Mais selon les chercheurs, deviner une date d’expiration prend au maximum 60 tentatives. Et pour le code de sécurité CVV à trois chiffres, il faut compter moins d’un millier d’essais. Bien sûr, tous les formulaires n’autorisent le même nombre de tentatives. Mais pour certains, ce nombre est illimité. Ce qui simplifie le travail d’automatisation. Mais 6 secondes peuvent suffire pour ainsi détourner une carte bancaire. Les mécanismes de type 3D Secure peuvent aider, mais encore faut-il qu’ils soient implémentés par le site marchand ! Et ceux-ci tendent malheureusement à dissuader une proportion non négligeable de clients de finaliser leur transaction. Dès lors, leur adoption peine à s’étendre.

Dans une déclaration, Visa renvoie d’ailleurs émetteurs et commerçants dos-à-dos en soulignant qu’il fournit aux émetteurs de cartes « toutes les données nécessaires pour prendre des décisions éclairées sur le risque associé aux transactions » et que les « marchands et émetteurs peuvent prendre des mesures pour lutter contre les attaques en force brute ».

Selon trois sources anonymes de nos confrères du Times, Tesco Bank aurait d’ailleurs ignoré des avertissements de Visa sur des attaques comparables à celle décrite par les chercheurs de l’université de Newcastle et portant sur de petits montants. Plus tôt, CyberInt avait indiqué au Financial Times que les données de clients de la banque étaient commercialisées en ligne par des cybercriminels. Codifed Security avait de son côté relevé plusieurs vulnérabilités dans les applications mobiles de Tesco Bank, mais sans réussir à se faire entendre, selon lui.

Avec nos confrères de ComputerWeekly.