Commentaires : Combien de temps faut-il pour pirater une carte bancaire?

Six secondes. C’est le temps minimum qu’il faut pour craquer une carte bancaire, d’après des chercheurs de l’université de Newcastle. Et une analyse faite par NordVPN vient étayer tout cela en nous apprenant que craquer une carte bancaire, ce n’est pas si difficile que ça.

NordVPN « paye une étude » pour qu"on parle de lui gratuitement dans les News Tech
la boucle est blouclée

« Finalement, assurez-vous contre ce genre de fraudes ».

Pour payer une deuxième fois une protection qui vient avec toute carte bancaire ?

Ma banque me fourni pour chacun des mes achats, des numéros de carte bleue, jetables, qui ne peuvent être utilsés qu’une seule fois (à moins que je précise montant récurrent pour les abonnements)

c’est une bonne solution je trouve.

Pas une seule fois, une infinité de fois jusqu’à ce que le montant dédié soit atteint. Sinon, les achats sur Amazon ne marcherait pas si t’as plusieurs articles. Amazon n’envoie pas tous les articles en même temps si tu prends plusieurs articles. Amazon débite à l’expédition pour chaque envoi.

Je trouve cet article très limite.
En fait il ne sert à rien car pas assez détaillé, il ne dit que des choses approximatives et à moitié vraies (ou à moitié fausses).
Effectivement il doit être facile de générer un code de carte bleu valide, mais les banques tentent de trouver des solutions pour s’assurer que c’est le bon utilisateur qui effectue un achat.
Rien n’est jamais inviolable certes, mais les choses ne sont pas non plus aussi faciles que ce que NordVPN (qui a le mérite de trouver des moyens détournés pour faire parler de lui) veut bien nous faire croire.
Ce qui me gène c’est que Clubic est complice de cette publicité déguisée.

Ufc que choisir a publié récemment la liste des banques qui refusent ,de façon plus ou moins subtile ,de rembourser les fraudés.
Et ce malgré la loi …
En tablant sur les frais de justice et les délais.
Et ils font appel en plus !
Au pire ainsi ils remboursent peut être 10% des vols ,à mon avis .

J’ai été piraté une fois , il y a au moins 15 ans, je n’ai jamais su d’où cela a pu venir (3000€ en 2 achats au Mozambique, depuis , je sais où c’est )…
Après signalement, ma banque ( postale à l’époque) m’a remboursé au bout de 15 jours environ.
Je pense effectivement à un numéro de CB généré au hasard.

le systeme e-carte bleue est bien , ça génère un numero avec un montant déterminé par l’acheteur et ce numéro est utilisable qu’une seule fois après il est inutilisable, ça fait 15 ans que j’utilise ce service pour mes achats internet et RAS

Sur ma carte de crédit, je l’ai liée avec l’app de la banque, et j’ai paramétré que chaque transaction me fasse une notification sur le mobile, ce qui en cas d’un truc suspect, me permet de la bloquer sur le champ!

La meilleure protection que peut offrir la banque est celle des cartes virtuelles: 1 numéro de carte à usage unique ou pour maximum 1 fournisseur. Comme cela, même si un site se fait pirater mon numéro de carte, elle est inutilisable ailleurs.
A noter aussi, que l’on peut désactiver le numéro de la carte physique pour toute transaction sur le web, ce qui évite le vol du numéro avec le cryptogramme par des collègues indélicats ou par les enfants.

Ce type d’attaques est très courante et difficile à parer. Fait une recherche sur card testing attack pour te renseigner.

Un article intéressant sur le sujet : Card Testing Fraud: Identify and Stop Fraud Attacks

Les générateur de num de carte bleu existent depuis des LUSTRES.

Les banques doivent aussi s’assurer que le client ne déclare pas un piratage pour obtenir en fait le remboursement d’un achat fait par le petit dernier qui a utilisé la carte bleue parentale.
D’où quelques vérifications comme vérifier que l’achat a été effectué sans authentification forte. Ce qui enlève l’automatisme du remboursement.

Ça dépend comment la banque gère son système.

Il y en a qui autorisent un nombre illimité de transactions, tant que le plafond et/ou la date limite de validité n’est pas atteint (il n’y a pas forcément de plafond de montant), et en n’autorisant que des transactions venant du même tiers (la première transaction verrouille sur un tiers), mais il y en a a bien aussi que limitent à une seule transaction.

Et ça n’empêche pas Amazon de fonctionner, car même s’il débite ta commande en plusieurs fois, du point de vue du système CB c’est une transaction unique : il effectue une transaction au moment de la commande, couvrant le montant totale de la commande, mais sans la débiter immédiatement. Ensuite au fil des exceptions, il renvoie au système CB l’identification de la transaction initiale pour débloquer les fonds.

Pour avoir testé chez différentes banques, mon expérience est :

• Crédit Mutuel : au choix, usage unique plafonné à un montant, usage multiples plafonné à un montant sans verrouillage sur le tiers de la première utilisation.
• Fortuneo : usages multiples plafonné à un montant, avec une durée de validité au choix et limité à un tiers,
• Aumax : usages multiples plafonné à un montant, avec durée de validité au choix et limité à un tiers,
• Revolut : usage unique sans limite de montant ni choix de la durée de validité (un nouveau numéro valable 5 ans est automatiquement généré dès que le précédent est utilisé), limité à une seule transaction.

Et ça fait aussi des lustres qu’un générateur de numéro de CB n’a quasiment aucune chances de générer un numéro utilisable.

Car outre le fait qu’il faut générer un numéro de carte qui existe (il y a pour chaque émetteur 100 milliards de numéros possible, dont seulement quelques millions à quelques dizaines de millions sont valables à un instant t… si on a un émetteur qui a un parc de 10 millions de cartes actives, ça fait une chance sur 10 000 qu’un numéro généré soit bon), il faut aujourd’hui aussi générer le bon CVV qui va avec (le CVV est totalement indépendant du numéro de la carte, donc 1000 possibilités) et le plus souvent aussi la bonne date de validité (60 possibilités si on table sur une durée maximum de 5 ans…). Ce qui fait que les chances qu’un numéro généré avec son CVV et sa date de validité soit valide sont de l’ordre de une chance sur 600 millions pour un émetteur dont le parc de cartes actives est de l’ordre de 10 millions d’unités.

Au final un générateur ne va quasiment marcher que dans un cas : un site qui au lieu de faire une demande d’autorisation immédiate à la banque va simplement vérifier la validité théorique du numéro de CB (dernier chiffre calculé en fonction des précédents), stocker le numéro de CB et ne le présenter que plus tard à la banque. Aujourd’hui les sites fonctionnant encore comme ça sont quasi inexistants.

Si tu as un jour une transaction frauduleuse sur ta CB, l’hypothèse que ton numéro ait été généré par un générateur est donc vraiment très loin d’être la plus probable, il y a de fortes chances qu’il y ait eu un problème à un autre niveau (keylogger, transaction en ligne mal sécurisée, numéro stocké en clair dans une base de données pas assez protégée, commerçant fraudeur parmi ceux chez qui tu as utilisé la carte physique, relevé de ton numéro par quelqu’un qui t’as vu utiliser la carte physique, etc…).

Bah oui la Chine est bien « protégé », ils utilisent du cash ou WeChat.

Je me suis fait voler ma carte bancaire, mais j’ai décidé de ne pas porter plainte et de ne pas la faire bloquer quand je me suis aperçu que le voleur dépensait moins que ma femme !

Ca manque d’explication, il faut le CVV valide, et une date valide aussi.
Le tout sur une carte « active »…

Ca doit etre bien plus compliqué que ce que dit l’article.

pour ceux qui se croient à l’abris avec leur carte virtuelle : votre carte virtuelle est liée à une carte réelle, avec un vrai numéro réel de chez réel non ?
Avec les techniques d’attaque par force brute, peu importe que votre carte virtuelle soit trouvée ou pas. C’est votre carte réelle qui sera trouvée.

Pour limiter les risques pensez à :

• Baisser les plafonds de paiements de vos CB.
• Baisser le montant d’autorisation de découvert (Proche de 0€)
• Ne laissez pas beaucoup de liquidités sur votre compte courant.