154 016 cartes bancaires françaises sur le darknet

Les chercheurs en sécurité informatique de NordVPN ont découvert que plus de 4 millions de cartes bancaires sont en vente sur le dark web, le tout à des prix dérisoires. Si les États-Unis sont les plus touchés, la France n’est pas en reste avec plus de 150 000 unités concernées. Une fois n’est pas coutume, mais la population de l’hexagone ne tiendra rigueur de pas être les premiers. Les Françaises et Français ne sont pas les plus à plaindre, pour autant il est nécessaire de suivre les mouvements sur son compte bancaire.

Malgré l’apparition des cartes « antifraudes » depuis 2018, et la mise en place de l’authentification forte en France depuis le 15 mai 2021, la revente de coordonnées bancaires ne tarit pas d’offres sur l’Internet. Habituellement, les opérateurs obtiennent les informations en attaquant de gigantesques bases de données issues d’e-commerce, ou par hameçonnage comme en septembre 2021, pour les clients le Crédit Agricole relatait Le Parisien. En 2020, « la fraude aux transactions scripturales atteint un montant global de 1,28 milliard d’euros pour près de 7,8 millions de transactions frauduleuses, ce qui représente une hausse sur un an de 8,4 % en valeur et de 4,2 % en volume. Cette progression des montants fraudés est portée principalement par le virement et dans une moindre mesure par les paiements par carte », stipule le rapport annuel de l’Observatoire de la sécurité des moyens de paiement 2020.

Les chercheurs en cybersécurité de NordVPN relatent que des pirates ont déniché un autre moyen de trouver des numéros de cartes bancaires, et sans avoir à pénétrer dans lesdites bases. Il s’avère que les individus malveillants procèdent à des attaques par force brute pour deviner les numéros des cartes bleues. Cette technique consiste à tester chaque combinaison possible d’un mot de passe, d’une clé, d’un identifiant ou ici des numéros d’une carte bleue, pour en prendre le contrôle. Ils y parviennent grâce à la norme de ces cartes. Les chiffres suivent un modèle prédéfini, facilement déductible. Par exemple, les deux premiers indiquent le fournisseur du service financier, tels que VISA ou Mastercard, tandis que le dernier chiffre est une somme de vérification.

Le dernier chiffre, et pas le moindre est « obtenu en appliquant une équation aux 15 premiers chiffres, et, il est uniquement utilisé pour déterminer si des erreurs ont été commises lors de la saisie du numéro de la carte bancaire », détaillent les chercheurs dans un schéma. Quand au code CCV, ou cryptogramme visuel, celui qui se trouve à l’arrière de votre carte bleue, il n’est composé que de trois chiffres. Les personnes les plus expérimentées sont capables de réduire drastiquement le nombre de chiffres qu’ils doivent deviner, puis vérifier pour trouver votre numéro. Des chercheurs de l’université de Newcastle précisent « qu’une attaque par force brute pourrait ne prendre que six secondes pour trouver la bonne combinaison ».

Les chercheurs ont découvert à minima 4 481 379 de cartes bancaires en vente sur le dark web, à un prix moyen de 17 dollars chacune. En analysant les données disponibles, NordVPN ajuste que sur les cartes volées, les États-Unis arrivent premier, avec 1 561 739 unités. Les anciens membres de l’Union européenne ne comptent que 134 607 cartes pour des résidents britanniques. Les Français ne sont pas en reste avec 154 016 cartes bancaires devinées proposées à la vente. Ces dernières sont pour 78 441 d’entre elles des Visa, 49 549 des Mastercard, et 2 353 des American Express. « Les utilisateurs ne peuvent pas faire grand-chose pour se protéger de cette menace, à moins de s’abstenir complètement d’utiliser leur carte », stipulent les chercheurs, qui suggèrent aux usages d’avoir l’œil sur les mouvements suspects dans leurs relevés.