Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Quarante millions de cartes bancaires dérobées sur Internet

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Quarante millions de cartes bancaires dérobées sur Internet

Près de 40 millions de numéros de cartes bancaires auraient étés dérobés aux Etats-Unis lors du piratage d’un prestataire de paiement. Il s’agirait essentiellement de numéros de cartes Visa et Mastercard.


Cela pourrait presque faire rire : tout juste un mois après que le Forum des Droits sur l’Internet se soit ridiculisé en affirmant dans un rapport tartuffe « l’inexistence du piratage de la carte bancaire sur Internet », voilà que disparaissent, sur Internet justement, près de quarante millions de ces mêmes cartes.

L’affaire a été découverte le mois dernier par le service de lutte contre la fraude de la société Mastercard. Après un mois d’enquête, la société a pu déterminer que les numéros avaient étés dérobés chez un prestataire de paiement, la société américaine CardSystems Solutions. Bilan des courses : aux 14 millions de numéros de cartes émis par Mastercard viennent s’ajouter 20 millions de numéros Visa et environ quatre millions de numéros American Express et autres cartes locales. Avec au total quarante millions de numéros envolés, il s’agit de la plus grosse affaire de ce type révélée à ce jour.

Selon les premières informations parues dans la presse anglo-saxonne, il s’agirait bien d’un piratage et non d’un vol de disques durs ou de sauvegardes : le pirate aurait profité d’une série de vulnérabilités dans le système d’information de CardSystems pour y naviguer à sa guise et dérober les numéros.

Rappelons que lors d’un paiement en ligne, le numéro de carte bancaire envoyé par l’Internaute peut avoir deux destinations très différentes : il peut être adressé directement au marchand, qui se charge alors de le soumettre à la banque et éventuellement de le conserver (c’est l’option la plus risquée).

A l’inverse, le marchand peut choisir de passer par un prestataire de paiement : il ne voit alors jamais le numéro au complet mais reçoit simplement l’accord de la banque via le prestataire, qui s’est chargé de jouer le rôle d’intermédiaire entre l’Internaute et sa banque. C’est ce prestataire, ensuite, qui stocke le numéro. En théorie, c’est une approche plus sûre… sauf lorsque c’est le prestataire lui-même qui se fait pirater !

Face à ces risques, il n’y a que deux solutions : ne rien acheter sur Internet ou avoir recours à un service de numéros virtuels à usage unique. Ce n’est bien sûr pas la panacée (quelqu’un peut s’emparer de votre compte ou le service peut être détourné) mais c’est nettement moins risqué : ce service génère un numéro de carte bancaire unique à chaque achat, dont le montant est plafonné. Si le marchand tente de débiter plus, ou si le numéro est volé ultérieurement, l’opération échouera.

Seul vrai risque de cette solution : celui de dépenser beaucoup plus sur Internet une fois mis en confiance !


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.