Pirate ou espion, il vole 130 millions de cartes de crédit

Particulièrement sophistiquée, l’injection SQL ? Que des compagnies de cette taille ne sachent pas se protéger de ça, la faille la plus courante et stupide qui soit, c’est une honte.

L’attaque par injection SQL fait partie des bases de la panoplie du hacker (j’en sais quelque chose).

Donc aucune performance particulière de sa part. Par contre, un vrai défaut de sécurité de l’autre coté de la barrière. Que des banques ne sachent même pas se protéger contre ce genre d’attaque basique est effrayant.

Pour ce qui du réseau de serveur, puisque vous souhaitez des lumières, il est probable que Gonzalez a utilisé un ou plusieurs serveur proxy qui permette de faire « rebondir » ses attaques par différentes routes et donc sembler attaquer de tous les « cotés » à la fois. (Là encore, une technique assez classique et basique)

Je me demande ce que fout une chaine de supermarchés avec des numéros de CB dans ses machines... Ils n’ont pas besoin de conserver les numéros pour qu’on puisse payer.

Mais quelque part ça me rassure qu’il se soit fait gauler en s’attaquant à Visacard. Même si je paye pas sur le Net, eux sont bien obligés d’avoir mon numéro de carte.

l’système des cartes prépayé, c’est pratque si on achète ou autre sur l’net

perso je me sert que de ça,jamais mettre mon n° de carte bleue sur l’net

« SQL injection attack »…

► Quand même étonnant que les administrateurs de bases de données de cette ampleur permettent l’exécution de requêtes venant de l’extérieur :

Les requêtes SQL sont simplement des commandes permettant d’interroger une base de donnée. (SQL = Langage Structuré de Requêtes )
Rien d’autre que des lignes de programme destinées à un SGBD (Système de Gestion de Base de Donnée)

Tous les SGBD se manipulent par SQL (Oracle..Access..)

De la même manière que des petits rigolos arrivent à éxécuter des programmes pirates dans votre PC, simplement en espérant que vous activiez un programme en cliquant (pour voir) sur un fichier attaché,

ils peuvent aussi par le biais de fichiers word ou excel, qui ont l’air neutres, mais peuvent comporter des « macros » (rien d’autre que de petits programmes écrits en Vsual Basic qui peuvent tout faire sur votre micro)

et ils peuvent ouvrir un compte sur une base de donnée, et l’interroger par des procédures SQL.
Si la base de donnée est bien administrée, c’est impossible...
..Mais..mais... ces bases de données ressemblent apparemment à ces pavillons protégés par porte blindée mais gardant leurs fenêtres ouvertes.

Techniquement comment réaliser une injection sql ? Evidement, là, c’est la version très très basique.

Le but est d’envoyer des commandes en language SQL (celui commun à toute les bases de données) au serveur avec comme résultat la récupération des données de celui ci, donc les N° de carte bleu qui sont dedans dans ce cas.

Comment on envois ces commandes, en les saisissants dans les champs des formulaire qui sont envoyé au serveur.
Exemple quand on demande notre nom on va s’appeler SELECT N°CB FROM BASEATTAQUEE

Ou en modifiant les données du formulaire lors de l’envois de celui au serveur, beaucoup plus probable quand même.

Le résultat est le même, la ligne de commande envoyé est donc injecté et surtout exécuté par le serveur et le ’hacker’ devient le maitre des clés...

Bon évidement là c’est très très simplifié et schématique, mais c’est comme ça que ça marche. Comme l’on dit bien d’autre avant moi c’est la plus simple des méthodes d’attaque, et je suis surpris qu’elle puisse fonctionner sur des sites aussi important, vu qu’il est assez simple de s’en protéger.

A vouloir le moindre coût en permanence... Les tests et la sécurité (la vrai) ça coute cher...

On se croirait dans les séries TV...

Il suffit de sortir un terme pas « standard », genre « injection SQL » (si possible en anglais, ça pète mieux), et hop, ça devient hyper-sophistiqué, et limité aux « hackers » de compèt’.

Le pire, c’est que j’imagine tous les sujets autres que l’informatique, où les termes compliqués sont utilisés de la même façon, et où je suis pris pour un con parce que j’y connais rien !

Lien

« Paradoxe : ce petit génie de l’informatique purge actuellement une peine de prison pour une affaire similaire. En 2005, il avait été pris la souris dans le site en train de subtiliser 40 millions de numéros de carte de crédit »...donc si j’ai tout bien compris,ça fait 4 ans qu’il est au gnouf et on annonce ça maintenant ? c’est quoi cette info ? ça date de quand ce coup des 130 millions de numéros de cartes ? ...il a un ordi dans sa cellule ? c’est une info qui date d’il y a 4 ans ou c’est juste un marronnier de plus pour meubler ? c’est pas très cohérent...

à noter une erreur trop fréquente, et qui est reproduit dans votre article : un hacker n’est pas un cracker (ou black hat). Et dans votre article c’est bien de cracker dont il est question, pas de hacker. La différence est vraiment très importante car elle porte attente à une activité tout à fait respectable, hacker.

Lien

Lien(informatique)

J’ai votre nom & numero de carte.

Je passe une commande par internet grace a ces info.

MAIS comme il n’y a pas de signature (ou de code secret, qui est une forme de signature), le titulaire du compte pourra se faire recrediter sur son compte sur simple demande aupres de sa banque.

En parallele, la banque annulera le virement fait au commercant ayant vendu le bien ou le service (tous les commercants qui veulent recevoir des paiements par carte par internet, ou tel., doivent s’engager a rembourser si contestation, c’est la regle).

DONC pas de grand risque pour le titulaire du compte et de la carte, plutot pour le commercant qui a accepte ce paiement.

La plupart des gens qui flippent d’utiliser leur carte de credit sur internet ignorent generalement cela.

Pas de code secret = pas de signature, tout repose sur la bonne foi des intervenants, d’ou cette securite, logique et rassurante.

Veulliez ne pas confondre geek et hacker qui n’ont absolument rien a voir.

Un geek est un passionné, ( souvent de nouvelle technologie mais pas forcement ) qui peut perdre un peu de sa vie sociale pour assouvir sa passion.

Et non un geek n’est pas un nerd completement no life.

Au journal de 13 heures sur F.Inter un représentant du consortium Cartes-Bancaires se gaussait qu’en France ce genre de piratage était exclu, grâce aux « puces » que le monde entier nous envie...

Il tenait néanmoins à rappeler les possesseurs de CB les règles élémentaires de prudence, à savoir : non divulgation du n°de code (personnel & secret) à 4 chiffres, et du n° à 3 chiffres porté au dos de la CB, et utilisé pour les transaction sur le net.

Bon.

Pour le code à 4 chiffres, c’est OK on ne le note nulle part, on ne donne pas, c’est OK...

Pour les 3 chiffres « magiques » situés au dos de la CB et fournis avec la date de validité lors d’une transaction CB via le net, je dit « Halte-là », on est en plein délire et en pleine esbrouffe : qui n’a pas eu sa CB hors des ses mains, lors du paiement au resto, ou en cas d’égarement de la CB (avec récupération ultérieure) ?

Celui qui a eu votre CB dans les mains quelques instants peut avoir, sans être un virtuose de la manipulation, mémorisé votre N° + les 3 chiffres et la date de validité, et l’utiliser frauduleusement lui-même, ou le céder à un complice (pour usage dans une zone offshor)...

J’en ai parlé à ma banque qui est restée perplexe, en arguant qu’il falait avoir l’esprit tordu pour penser un truc pareil ( merci) et que le système est fiable de ce côté là, qu’il suffit de responsabiliser ( culpabiliser) le porteur de carte...

Pour ma part, je pense que la faille est large et que le système n’offre aucune garantie de sécurité et que les banques et la CB se comportent avec suffisance et arrogance en imposteurs !