La particularité des cartes pré-payées
Dans cet article, nous considérerons les cartes prépayées bancaires « non-rechargeable » ayant une existence physique. Ce moyen de paiement est en forte croissance avec des prévisions de volume annuel de 4200 milliards de dollars pour 2022. Ces dernières sont souvent revendues au travers de réseaux d’épicerie, station service ou autre point de vente. La valeur fiduciaire présente sur ces cartes varient entre 25 $ et 100 $ et le segment marché de ce type de produit, est un client souhaitant offrir une carte cadeau ou une carte de rémunération.
(source : Wikipédia)
Présentement, ce type de carte ne requiert pas d’authentification ou d’enregistrement afin de ne pas freiner la liquidité des transactions à petit montant tout en restant en adéquation avec les règles édictées par le régulateur en termes de lutte contre le blanchiment d’argent et de financement du terrorisme.
Ainsi, il est à noter que les cartes prépayées sont souvent détournées de leurs usages premiers, car ce moyen de paiement permet de transférer de la valeur instantanément et anonymement. De plus, la faible valeur fiduciaire, inférieure à 100 $, décourage les porteurs de cartes d’initier une quelconque action légale en cas de fraude.
La forte utilisation de ce moyen de paiement dans les industries parallèles, l’absence de poursuite légale des porteurs en cas de fraude et le fait qu’il faut seulement connaître les informations présentes sur la carte de paiement, en font un produit particulièrement attractif pour les fraudeurs.
Autopsie d’une carte bancaire
Une des spécificités des cartes prépayées, est que les informations pointent vers une petite somme d’argent et que cette dernière devient utilisable au moment où elle est activée, à la suite d’un achat légitime.
Ainsi, un fraudeur peut récupérer ces informations à la conception de la carte (fraude interne dans l’usine ou durant le transport au point de vente) ou lors de la mise en vente (fraude interne par le marchand ou fraude d’un client malintentionné). Ensuite, il est relativement simple d’automatiser les tentatives d’authentification de la carte inactive afin de détecter à la minute prêt l’activation de la carte à la suite d’un achat légitime et d’automatiser la vente et donc la récupération du montant présent sur la carte sur un autre compte marchand pour acquérir la transaction.
Toutefois, il serait également possible pour un fraudeur, d’acquérir le montant présent sur la carte sans même avoir accès au support physique en plastique. Pour ce faire, je vais décrire rapidement comment sont générées les données présentes sur une carte permettant des paiements à distance :
- Le numéro de carte (4) : 16 chiffres
- La date d’expiration (6) : un mois et une année
- Le code CSC/CVV : un code à 3 chiffres présent au dos
(Source : Wikipedia)
Le numéro de la carte à 16 chiffres se décompose aussi lui-même :
- Bank Identification Number (BIN) (1er au 6e chiffre): ce numéro d’identification permet d’identifier le réseau de paiement, la banque, le type de carte, le pays d’émission.
- Individual Account Identification (7e au 15e chiffre) : ce numéro identifie la carte
- Luhn key (16e chiffre) : ce numéro est calculable selon un algorithme public appelé « Algorithme de Luhn » et permet de valider les 15 premiers chiffres. Sa vocation est de permettre à l’acquisiteur de la transaction de valider qu’il n’y a pas eu d’erreur de saisie avant de soumettre les informations au réseau de paiement.
La problématique des cartes prépayées
Les cartes prépayées offrent un système pour consulter le solde et l’historique de transaction via les informations présentes physiquement sur la carte (numéro de carte, date d’expiration et CSC). Pour les fraudeurs, la partie est gagnée à cet instant précis, car cela signifie qu’il est possible de « deviner » simplement des informations de paiements valides via une attaque par force brute. C’est-à-dire de tester la validité d’une carte en essayant toutes les combinaisons possibles dans un ensemble le plus petit possible afin de réduire la complexité, dans l’optique de faire main basse sur le solde et ce, de manière automatisée.
Il serait naturel de se dire qu’il y a des millions de milliard de combinaisons possibles pour les cartes prépayées (ndlr : 4.8 x 10^22 combinaisons possibles). Cependant, l’entropie peut être rapidement et simplement réduite, car il est relativement simple de réduire l’ordre de complexité de l’ensemble de combinaisons testées. Pour s’en convaincre, il suffit d’acheter deux cartes :
- Le BIN sera logiquement identique (1er au 6e chiffre)
- Les chiffres 7 à 9 sont identiques (7e au 15e chiffre)
- La clé de Luhn est calculable (16e chiffre)
- La date d’expiration est identique entre les deux cartes
Ainsi, les chiffres 10 à 15 (1 000 000 de combinaisons) multiplié par les trois chiffres du CSC aboutissent approximativement à 1 x 10^9, soit un milliard de combinaisons. Cela peut paraître encore élevé si l’on ne considère qu’une seule combinaison. Toutefois, si on considère que cette intervalle de un milliard de combinaisons contient 10 000 cartes valides, alors cela signifie qu’une combinaison sur 100 000 serait valide soit 0.001%.
Cette probabilité peut paraître basse, mais un programme informatique à tout son temps et cette recherche peut être parallélisée. De plus, nous abordons ici des vulnérabilités de conception, sans aborder les vulnérabilités d’implémentation appelées attaques par canal auxiliaire. Cela pourrait permettre d’augmenter l’efficacité de l’attaque et réduire le coût moyen d’une fraude.
Les solutions possibles
Les cartes prépayées « rechargeables » obligent le double facteur d’authentification avec ce que le porteur de carte possède (les informations présentes sur la carte) et ce que le porteur sait (son code postal renseigné lors de l’enregistrement de la carte), car ce type de produit est régi par un cadre légal et réglementaire en matière de lutte contre le blanchiment d’argent et le financement du terrorisme.
À contrario, les cartes prépayées non-rechargeables n’ont pas ce type d’obligation et les émetteurs de ce type de produit préfèrent laisser cette fraude organique courir plutôt que de se risquer à avoir un produit plus restrictif, plus contraignant et qui risque très probablement d’être un échec commercial comparé aux produits concurrents.
En conséquence, seul le régulateur pourrait contraindre les émetteurs de ce genre de produit à s’enregistrer et ainsi conserver des informations sur le porteur qui pourrait lui servir à s’authentifier de manière robuste.
Nos conseils
À l’industrie des cartes prépayées et au régulateur
- Rendre obligatoire l’enregistrement des cartes prépayées;
- Enrayer la possibilité d’attaque par force brute en implémentant un temps d’attente exponentiel suite à une mauvaise authentification (date d’expiration ou mauvais CSC);
- Former une cellule spéciale de lutte contre la fraude, qui soit facilement accessible aux consommateurs. Cela vous permettra de constituer un avantage concurrentiel.
Aux consommateurs
- Ne pas acheter de cartes prépayées non-rechargeables!
- S’assurer de vider le solde le plus rapidement possible après l’activation de la carte (si vous devez acheter une carte prépayée non-rechargeable)
- Privilégier les cartes prépayées “rechargeables”, car elles comportent un mécanisme d’enregistrement de la carte;
- Privilégier les cryptomonnaies (si vous avez besoin de transférer de la valeur instantanément à l’autre bout de la planète!).
Aux commerces électroniques
- Détecter le paiement de vos produits via une carte prépayée non-rechargeable;
- Établir un délai de carence de 48h sur les transactions via une carte prépayée non-rechargeable;
- Procéder à des vérifications d’identités, après le délai de carence;
- Procéder à l’acquisition du paiement et au traitement de la commande.
Bertrand David
Chef de pratique risques TI et fraudes
Sources :
https://www.alliedmarketresearch.com/prepaid-card-market
https://www.infosys.com/industries/cards-and-payments/resources/Documents/prepaid-card-industry.pdf
https://en.wikipedia.org/wiki/Payment_card_number
https://fr.wikipedia.org/wiki/Attaque_par_canal_auxiliaire
https://www.infosys.com/industries/cards-and-payments/resources/Documents/prepaid-card-industry.pdf