Sécurité « à la carte » ?

Il n’y a encore pas si longtemps, l’argent liquide était le moyen de paiement le plus répandu. Puis vint la carte bancaire qui a très vite entrepris une croissance exponentielle. L’avantage est indéniable, payer pour un produit ou service sur Internet ne nécessite pas d’identifiant ou de signature, juste le numéro de la carte de paiement. Quant aux sites de e-commerce, ils ne semblent pas s’inquiéter outre-mesure de savoir si ces numéros proviennent de la carte d’un usager ou d’un site illégal.

Un élément plutôt attrayant pour les acteurs de l’e-criminalité. L’année dernière, Card Systems a battu tous les records avec 40 millions de données de cartes bancaires volées via une faille de sécurité dans le système de paiement. Lorsque vous êtes en vacances, quelqu’un peut utiliser un lecteur carte (card reader) pas seulement pour effectuer la transaction mais également pour enregistrer toutes vos données confidentielles pour un usage ultérieur. Le résultat est pour le moins désagréable : lorsque vous rentrez chez vous, vous vous rendez compte que l’on vous avez payé pour des achats que vous n’avez pas effectué. Et il n’est pas nécessaire d’être en vacances dans un pays ou le vol de données de cartes bancaires est monnaie courante, comme le montre l’arrestation en Allemagne en 2004, d’un groupe de 8 personnes qui copiait les infos bancaires des touristes dans les restaurants. Enfin, le spyware, les attaques de phishing et l’ingénierie sociale sont aussi employés pour voler des données. Les possibilités offertes par l’Internet pour dérober des informations confidentielles sont considérables, et varient uniquement en termes de complexité.

En règle générale, ceux qui volent les données ne sont pas les mêmes que ceux qui les utilisent. Les informations des cartes de paiement sont généralement compilées avec de nombreuses autres et vendues environ un dollar le lot. Cela semble un prix dérisoire mais le vendeur prend moins de risque que l’acheteur. Ce dernier a deux possibilités, soit il utilise de nombreuses cartes pour effectuer des achats mineurs, (afin de réduire le risque d’être pris) ou il utilise une seule carte jusqu’à sa limite. Très souvent, les émetteurs de cartes bancaires affichent une attitude indulgente envers les victimes mais il n’y a aucune garantie que la victime n’ait pas à payer les frais.

Le dernier cas en date

Le 04 août 2006, lors de recherches à ce sujet, Kaspersky Lab est tombé sur un site web proposant des données volées de cartes de crédit. Environ 300 lots de données étaient en vente, certaines se trouvant depuis un certain temps sur le site, mais le même jour, 60 lots de nouvelles données étaient ajoutés. Il est certain que ce n’est rien comparé aux 40 millions de l’année passée. D’un autre coté, les infos étaient offertes gratuitement et ca ne fait aucune différence à la victime que ses données se trouvent dans un lot de 300 ou de 40 millions.

Afin de vérifier l’authenticité des données, nous avons décidé d’appeler des victimes localisées en Allemagne. Le 15 mai, le propriétaire d’une carte de crédit a remarqué un débit inconnu de 10 euros sur sa carte. Le 26 mai, les données de sa carte étaient publiées sur le site et d’autres achats inconnus étaient effectués à l’aide de sa carte. Après quoi l’usager a bloqué sa carte, et Mastercard s’est engagé à le rembourser afin de surmonter le choc.

La victime a expliqué qu’il n’utilisait qu’exceptionnellement sa carte pour des achats en ligne. En mai il s’est rendu en République Tchèque où il a utilisé sa carte dans des restaurants et pour acheter de l’essence, ce qui explique certainement l’origine du vol de ses données.

Le format des données des cartes de crédit publiées sur le site montre clairement qu’elles venaient de base de données. Les clients de Mastercard, Visa, American Express et Discovery, y compris certaines cartes platinum, étaient touchés.

Soulignons un fait très intéressant : de nombreuses écritures du site web étaient numérotées avec des numéros à 6 chiffres. Autrement dit, il est plus que probable que les données présentes sur le site web n’était qu’une petite partie d’une grande collection pouvant contenir jusqu’à 100 000 lots de données. Nombreuses sont les cartes à être valables jusqu’en 2008, les données ne peuvent donc être que récentes.

La situation actuelle

Dans le même temps, nous avons informé les autorités allemandes, américaines et russes. La filiale américaine de Kaspersky Lab a contacté Visa et Mastercard. Comme nous l’avons expliqué dans le blog de Viruslist, l’échange avec les autorités n’a pas été aussi fructueux que nous l’avions espéré.

De nombreuses questions restent sans réponse. D’où viennent ces données ? Est-ce que les membres du site sont les responsables du vol ? Ont-ils réellement accès à de grandes collections de données de cartes bancaires ? Or si c’est le cas, un grand nombre d’usagers de cartes sont touchés sans même le savoir.

A l’origine, nous avions pour projet de publier de plus amples informations rapidement après l’envoi du blogpost. Toutefois, l’enquête des autorités est toujours en cours, et ces dernières ne veulent d’aucune façon mettre en péril les résultats de leur recherche en révélant des informations de façon prématurée. C’est pourquoi cet article ne comporte pas de captures d’écrans.

Comment vous protéger?

Les possibilités d’abus sont nombreuses et les précautions à prendre sont tout aussi étendues :

  • Installez un logiciel antivirus et un pare-feu sur votre ordinateur.
  • N’ouvrez sous aucun prétexte des pièces jointes à des emails de sources inconnues – même si ce dernier semble venir d’eBay, de votre opérateur téléphonique, de votre banque etc.
  • Installez régulièrement des patchs de correction de vulnérabilités dès leur sortie.
  • Utilisez votre carte de crédit uniquement si la boutique d’achats en ligne offre une connexion sécurisée.
  • Prenez soin de votre carte. Si une personne mal intentionnée arrive à en extraire les données, vous ne le découvrirez que lorsque vous recevrez votre prochain relevé.
  • Soyez prudents lorsque vous êtes en vacances. Les traveller check ou l’argent liquide sont plus sûrs, particulièrement si vous vous trouvez dans un pays connu pour le vol de données électroniques. Vos données peuvent être copiées très facilement depuis une station essence, un restaurant ou un magasin sans que vous ayez le moindre soupçon.
  • A votre retour de vacances, ou après un paiement en ligne, vérifiez bien les relevés de votre carte de paiement – les personnes utilisant vos données peuvent très bien ne faire que des achats insignifiants afin de ne pas attirer votre attention.
  • Si vous perdez votre carte ou pensez que les données de votre carte ont été dérobées, contactez l’émetteur de la carte immédiatement afin de la bloquer.

Conclusion

Même après plusieurs années d’e-commerce, les cartes de crédit et l’Internet ne font pas toujours très bon ménage. Que les données des cartes de crédit soient volées sur Internet ou qu’elles soient publiées sur des sites web vient en second plan. Ce n’est pas la première fois et hélas pas la dernière.

Après la publication de notre blog au sujet de cette affaire, nous avons reçu de nombreux emails de victimes dont les cartes semblent mener une vie à part. Ce n’est pas forcément lié au site que nous avons découvert mais indique plutôt un manque de clarté concernant l’origine du vol de ces données.

Du moment que les émetteurs de cartes sont tolérants envers leurs clients, et n’exigent pas de paiement pour débits frauduleux, les pertes directes seront limitées. Par contre, ces pertes vont se répercuter sur le prix des services qui incombera finalement à l’usager. Même si les cartes volées peuvent être bloquées, ce n’est qu’une maigre consolation pour le propriétaire de la carte qui sait que son adresse personnelle a été publiée sur une source visitée régulièrement par des criminels. Bloquer une carte est simplement une alternative temporaire, aussi bien pour le possesseur de cette carte que pour l’émetteur.

Kaspersky Lab a fait suivre ces informations aux autorités. L’affaire est en ce moment entre leurs mains. Cela va toutefois prendre des jours voire des semaines avant que cette histoire ne soit réglée et nous vous tiendrons informer des avancées de l’affaire.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *