Il y a de quoi avoir des frissons: les chiffres et les codes des cartes de crédit ne résistent pas longtemps aux pirates, même avec les nouveaux verrous de sécurité mis au point par les émetteurs. Or, ces pirates se mettent à la disposition de tout un chacun, comme le démontre l’expérience à laquelle nous nous sommes livrés avec notre partenaire alémanique Saldo.
Quand on règle un achat en ligne avec une carte de crédit, on tape en effet son numéro (4 groupes de 4 chiffres) ainsi que la date d’expiration et le code CVC (3 chiffres) figurant au verso. Autrement dit: rien d’autre que ce que n’importe quel voleur peut lire sur une carte dérobée!
Depuis quelques mois, les vendeurs ont donc introduit un seuil de sécurité supplémentaire: ils demandent, désormais, soit le numéro de contrat figurant sur les factures, soit un mot de passe qu’on définit grâce au système international 3-D Secure, en s’enregistrant auprès de Visa (Verified by Visa) ou MasterCard (SecureCode). Or, ce verrou additionnel est non seulement encore rare, mais sa sécurité est, comme nous allons le voir, toute relative!
Pour éviter de donner une marche à suivre à des lecteurs malintentionnés, nous ne rentrerons pas dans le détail de nos démarches. Disons simplement que, quelques heures passées sur les chats, forums et autres marchés noirs nous ont suffi à dénicher un vendeur de données établi au Vietnam. Le fournisseur n’a jamais dévoilé son identité, les informations étant transmises par courriel.Le versement s’est fait, comme souvent dans de telles circonstances, par le biais de la société de transfert de fonds Western Union.
A l’insu du titulaire
Le set complet de données d’une carte de crédit Visa nous a coûté 34 fr., le mot de passe supplémentaire mentionné plus haut inclus! Ce dernier s’est toutefois révélé inutile pour acquérir, aux frais du titulaire de la carte, mais à son insu, un CD sur Amazon.
Nous avons même reçu l’adresse de la victime, un médecin domicilié dans le canton de Fribourg. Notre pirate nous a encore aimablement fourni son numéro de téléphone portable qui ne figure pourtant pas dans l’annuaire téléphonique, si bien que nous avons pu prendre contact avec elle. Choquée par ces révélations, elle nous a indiqué n’utiliser sa carte de crédit qu’occasionnellement, pour réserver un hôtel ou un vol.
Cheval de Troie
Pour parvenir à leurs fins, les pirates utilisent des programmes de type cheval de Troie, c’est-à-dire des fichiers d’apparence anodine que l’internaute télécharge sans se douter qu’ils contiennent des instructions permettant d’ouvrir une porte d’accès à l’ordinateur. Le programme enregistre notamment les touches frappées sur le clavier et les transmet au pirate.
Ces logiciels transitent à travers les fichiers attachés aux courriels ou lors du téléchargement de musique ou de films (par exemple aux formats MP3 et MPEG). Profitant des lacunes de sécurité des différents programmes de lecture (comme ceux de Media Player), ils s’installent subrepticement dans le système.
Vérifier les factures
En cas de fraude, il est possible de refuser de régler un achat en ligne, et ceci d’autant plus qu’il n’aura pas encore été débité par recouvrement direct (LSV). Pour éviter toute méprise, on gardera toutefois à l’esprit que les noms figurant sur le décompte ne sont généralement pas ceux des commerçants eux-mêmes, mais ceux de leurs sociétés de recouvrement.
En cas d’utilisation abusive, s’adresser sans tarder à la société émettrice de la carte. Celle-ci entreprendra alors des négociations avec la banque de son client et le commerçant concerné pour répartir la responsabilité financière du montant dérobé.
Andreas Schildknecht / CHR
BONUS WEB: comment protéger ses données