Tech

Quarante millions de numéros de cartes bancaires dérobés sur Internet

ActualitéClassé sous :Internet , carte bancaire , paiement en ligne

Près de 40 millions de numéros de cartes bancaires auraient été dérobés aux États-Unis lors du piratage d'un prestataire de paiement. Il s'agirait essentiellement de numéros de cartes Visa et Mastercard.

Quarante millions de numéros de cartes bancaires dérobés sur Internet

Cela pourrait presque faire rire : tout juste un mois après que le Forum des Droits sur l'Internet se soit ridiculisé en affirmant dans un rapport tartuffe "l'inexistence du piratage de la carte bancaire sur Internet", voilà que disparaissent, sur Internet justement, près de quarante millions de ces mêmes cartes.

L'affaire a été découverte le mois dernier par le service de lutte contre la fraude de la société Mastercard. Après un mois d'enquête, la société a pu déterminer que les numéros avaient été dérobés chez un prestataire de paiement, la société américaine CardSystems Solutions. Bilan des courses : aux 14 millions de numéros de cartes émis par Mastercard viennent s'ajouter 20 millions de numéros Visa et environ quatre millions de numéros American Express et autres cartes locales. Avec au total quarante millions de numéros envolés, il s'agit de la plus grosse affaire de ce type révélée à ce jour.

Selon les premières informations parues dans la presse anglo-saxonne, il s'agirait bien d'un piratage et non d'un vol de disques durs ou de sauvegardes : le pirate aurait profité d'une série de vulnérabilités dans le système d'information de CardSystems pour y naviguer à sa guise et dérober les numéros.

Rappelons que lors d'un paiement en ligne, le numéro de carte bancaire envoyé par l'Internaute peut avoir deux destinations très différentes :

  • il peut être adressé directement au marchand, qui se charge alors de le soumettre à la banque et éventuellement de le conserver (c'est l'option la plus risquée) ;
  • à l'inverse, le marchand peut choisir de passer par un prestataire de paiement : il ne voit alors jamais le numéro au complet mais reçoit simplement l'accord de la banque via le prestataire, qui s'est chargé de jouer le rôle d'intermédiaire entre l'Internaute et sa banque.

C'est ce prestataire, ensuite, qui stocke le numéro. En théorie, c'est une approche plus sûre... sauf lorsque c'est le prestataire lui-même qui se fait pirater !

Face à ces risques, il n'y a que deux solutions : ne rien acheter sur Internet ou avoir recours à un service de numéros virtuels à usage unique. Ce n'est bien sûr pas la panacée (quelqu'un peut s'emparer de votre compte ou le service peut être détourné) mais c'est nettement moins risqué : ce service génère un numéro de carte bancaire unique à chaque achat, dont le montant est plafonné. Si le marchand tente de débiter plus, ou si le numéro est volé ultérieurement, l'opération échouera.

Seul vrai risque de cette solution : celui de dépenser beaucoup plus sur Internet une fois mis en confiance !

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour.

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !

Cela vous intéressera aussi