50 000 cartes bancaires françaises piratées en septembre

Les données contenues dans les pistes magnétiques d’environ 50 000 cartes bancaires appartenant à des Français circulent depuis quelques mois sur divers sites underground. Ce piratage d’une ampleur sans précédent a été revendiqué sur un forum russophone en septembre 2011 par un hacker reconnu comme digne de foi par ses pairs.

Apparemment, cette importante base de données n’a pas été revendue directement d’un bloc, car plusieurs intermédiaires les écoulent par petits lots sur leurs propres sites.

Exemple ci-dessous d’un site proposant à la vente 680 dumps issus de ce piratage. La liaison entre cette vente et le hacker peut être établie aisément, car le pseudonyme de ce dernier apparaît en clair à côté de chaque dump français lui appartenant.

Une question se pose avec insistance : comment le hacker a-t-il pu opérer pour détourner autant de données confidentielles ? Deux options peuvent d’emblée être écartées :

• Cette attaque n’est en aucun cas liée au piratage d’un site web marchand, car ces derniers ne valident les transactions qu’avec des numéros de carte bancaire et non l’intégralité du contenu de la piste magnétique.
• La possibilité d’une attaque réussie envers une institution bancaire particulière est exclue, les données en vente appartenant à plusieurs banques françaises. En effet, dans le lot des 680 dumps proposés sur l’un des sites, les recherches effectuées par BIN démontrent la présence d’au moins quatre institutions différentes.

Exemple ci-dessous des résultats de recherches effectuées sur les BIN Visa classiques de deux banques françaises. Pour la première, 52 cartes sont en ventes, pour la seconde 31.

Quand une banque est « braquée » avec succès par un pirate, les retombées en sont flagrantes sur le marché noir. Exemple ci-dessous d’un site frauduleux qui récemment a ajouté des numéros de cartes bancaires appartenant à la même banque^[1]… de la même ville aux Etats-Unis.

Autre option : la possibilité que ces données aient été dérobées suite à l’installation de skimmers. Celle-ci apparaît comme peu vraisemblable, mais possible. L’actualité récente aux Etats-Unis a en effet démontré que les cybercriminels s’intéressaient particulièrement aux caisses libre-service des supermarchés.

Reste enfin les deux dernières hypothèses qui sont, elles, envisageables :

• Une société sous-traitant les transactions réalisées chez les commerçants par les terminaux de paiements n’a peut-être pas correctement sécurisé l’acheminement des données personnelles des clients.
• Un supermarché, un magasin, ou toute autre structure acceptant les paiements par carte bancaire a pu voir son réseau « sniffé » par le pirate.

Dans ces deux derniers cas, le défaut de sécurité a trait à l’utilisation de la carte matérielle.