Skip to main content

Tous les paiements en ligne 3DSecure sont-ils compromis ?

Ecommerce
(Crédit photo: StockSnap / Pixabay)

Des discussions inquiétantes, glanées sur le Dark Web, laissent entendre que les transactions en ligne par carte bancaire s’avéreraient facilement contournables aujourd’hui. En raison de la facilité d’accès à un plus grand nombre de ressources pour contourner chaque niveau de protection.

Les experts de Gemini Advisory ont découvert une nouvelle stratégie, très appréciée des cybercriminels, consistant à utiliser une combinaison d'ingénierie sociale et de campagnes de phishing pour passer outre le système de sécurité 3DSecure (3DS).

Bien qu'il existe deux versions de 3DS, la dernière étant plus résistante sur le plan technique, le rapport note que "le phishing et l'ingénierie sociale transcendent souvent les mises à jour de 3DSecure".

Des attaques qui vont s’accélérer

Le protocole 3DS est un mécanisme populaire de prévention de la fraude qui ajoute une couche supplémentaire de vérification d’identité pour garantir l'authenticité des transactions en ligne par carte de paiement. 3DS 2 est l’ultime version du protocole conçue pour les smartphones.

Toutefois, selon des audits récents, la version originale de 3DS est encore largement utilisée, ce qui permet aux hackers de défaire plus facilement les mesures de sécurité. 

Ce qui rend 3DS 2 plus résistant à la fraude, d’après Gemini Advisory, c'est qu'il utilise plus d'une centaine de points de données clés, y compris des données contextuelles pertinentes du e-commerçant pour valider la nature des transactions.

Les chercheurs notent toutefois avec inquiétude que "si 3DS 2 est plus difficile à contourner pour les cybercriminels, il n'est pas imperméable aux usages bien rodés et répétés en matière d'ingénierie sociale". 

Ainsi, au lieu de se frayer directement un chemin à travers les dispositifs de sécurité, les pirates informatiques les contournent en élaborant le bon type de campagne d'ingénierie sociale.

"Gemini Advisory évalue avec une confiance modérée que les cybercriminels continueront probablement de s'appuyer sur l'ingénierie sociale et le phishing pour défier les mesures de sécurité de 3DS", concluent les chercheurs, en laissant entendre qu'en fin de compte, c'est aux utilisateurs de s'assurer qu'ils ne sont pas la proie d'un tel dispositif.

Via: BleepingComputer

Mayank Sharma

With almost two decades of writing and reporting on Linux, Mayank Sharma would like everyone to think he’s TechRadar Pro’s expert on the topic. Of course, he’s just as interested in other computing topics, particularly cybersecurity, cloud, containers, and coding.