Cette technique d'attaque par « force brute »,  qui est effective même sans posséder physiquement la carte, ne fonctionnerait qu'avec le réseau VISA.  Il suffit simplement d'un ordinateur, d'un accès à Internet pour réaliser l’attaque en six secondes.

En multipliant les tentatives sur différents sites, des chercheurs sont parvenus à mettre en échec sans difficulté les systèmes de paiement sécurisés, sans même être en possession de la carte bancaire.

Des chercheurs de l'université de Newcastle, au Royaume-Uni, ont publié une étude publiée dans le Journal académique IEEE Security & Privacy (Institute of Electrical and Electronics Engineer).

Ces chercheurs ont utilisé une attaque par force brute pour contourner les mesures de sécurité destinées à protéger des fraudes le système de paiement en ligne.

Connectée sur différents sites, l'équipe de chercheurs a généré de façon répétée et continue des variations des différentes informations sécurisées de cartes de paiement (numéro de carte, date d'expiration et cryptogramme visuel) pour parvenir à obtenir un résultat favorable.

D'après l'étude, c'est une attaque du genre qui était vraisemblablement au cœur de l'attaque informatique contre la filiale bancaire du géant britannique de la distribution Tesco, dont 20.000 clients ont été victimes.

C'est parce que le système ne détecte pas les échecs répétés sur une même carte que l'attaque parvient à réussir.

Par ailleurs, tous les sites ne demandent pas les mêmes informations au même moment, ce qui permet de deviner un champ à la fois.

« Ce type d'attaque exploite deux faiblesses qui ne sont pas trop graves en elles-mêmes mais qui exploitées simultanément présentent un sérieux risque pour l'ensemble du système de paiement », souligne dans un communiqué Mohammed Ali, étudiant en doctorat à l'école d'informatique de l'université de Newcastle et principal auteur de l'étude.

Tout simplement en partant des six premiers numéros de la carte de paiement, qui servent à indiquer la banque et le type de carte et qui sont identiques pour chaque fournisseur unique.

« Un pirate peut obtenir les trois informations essentielles pour réaliser un achat en ligne en tout juste six secondes ».

Le délai peut être extrêmement réduit dans les cas où le pirate dispose des numéros de cartes, ce qui peut arriver de plus en plus souvent comme le montre la récente vague d'intrusions informatiques survenues dans des grandes entreprises.

Il suffit alors aux pirates de deviner la date d’expiration, nécessitant donc moins de 60 essais (la plupart des cartes de crédit étant valides cinq an au maximum), puis le cryptogramme visuel composé de trois chiffres , ce qui nécessite 1.000 essais dans le pire des cas.

Mohammed Ali souligne toutefois que cette technique d'attaque par force brute ne peut fonctionner qu'avec le réseau VISA.

«Le réseau centralisé de Master Card a été capable de détecter l'attaque après moins de 10 essais, même lorsque les paiements étaient répartis sur différentes réseaux » indique l’étude.