Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Un bricolage à 10$ capable de prédire et d’utiliser un numéro de carte bancaire

Le hacker Samy Kamkar dont je relate souvent les découvertes ici, vient encore une fois de signer un coup de maitre. Après avoir reçu sa nouvelle carte bancaire (une American Express), il s’est rendu compte que le numéro de la carte suivait un certain schéma.

Après avoir demandé à ses amis sur Facebook les 4 derniers chiffres de leur numéro d’American Express, il a été capable de pondre un algo qui lui permet tout simplement de « trouver » le prochain numéro et la nouvelle date d’expiration d’une CB.

Cela veut dire que si une CB est annulé (car perdue ou volée) ou arrive à expiration, il est possible en connaissant son numéro, de prédire le nouveau numéro et la date d’expiration qu’aura la prochaine carte. D’après lui, ce n’est très simple et très « évident ». Il n’a pas eu besoin de cracker d’algorithme complexe et avoue qu’il ne serait pas étonné si d’autres avaient fait cette découverte avant lui.

A partir de là, il s’est amusé à concevoir un petit appareil avec 10$ de matos, baptisé MagSpoof, qui permet de simuler n’importe quelle bande magnétique de cartes bancaires, sans avoir besoin d’un code PIN et capable de basculer à tout moment sur le prochain n° de CB grâce à un petit bouton.

Explications et démonstration :

Le pire c’est que MagSpoof est capable de générer un champ électromagnétique assez puissant pour qu’un lecteur de carte traditionnel le prenne en compte… Pas besoin de RFID ou de NFC donc…

Et imaginez la tête du pauvre gars qui s’est fait voler sa carte bancaire, et qui avant même d’avoir reçu sa nouvelle carte, se fait déjà dérober son argent…

Contacté, American Express a expliqué que ce n’était pas un risque important, car en plus de la puce et du code PIN (qui change à chaque nouvelle carte et qu’il est « impossible » de prédire), ils disposent d’autres mesures de sécurité sur lesquelles ils ne se sont pas étendus. On aimerait bien les croire, toutefois Samy a réussi à payer avec son joujou dans 2 restaurants différents et dont l’un avait une ardoise supérieure à 100 $. Je vous rassure, c’était avec ses propres numéros de CB qu’il a effectué ces transactions.

Évidemment, comme il est généreux, Samy a mis toutes les instructions d’assemblage et le code en ligne de MagSpoof sur Github. Toutefois, il a pris soin de retirer les parties qui permettent de désactiver l’usage du code PIN et l’algorithme utilisé pour prédire les numéros de carte.

Bon, ça concerne que les American Express, mais je serai bien curieux de savoir si ce n’est pas le même bazar chez les autres…

Source


Travis Touch – Traducteur Électronique Intelligent avec 105 langues

Traductions faciles & Hotspot Internet

105 Langues

Travis Touch est le traducteur intelligent par excellence qui tient dans la paume de votre main. Créez des liens significatifs avec les personnes que vous rencontrez. Que ce soit pour vos loisirs ou les affaires, Travis Touch permet un monde sans barrières linguistiques, traduisant à partir de 105 langues, plus que n’importe quel autre appareil.

Travis Touch écoute ce que vous dites, le traduit dans la langue sélectionnée et lit la traduction en temps réel par son haut-parleur. Votre interlocuteur peut alors s’exprimer dans sa propre langue et Travis traduira pour vous.

En Savoir +



Réponses notables

  1. Sauf que ca marche plus.
    C’était le cas avec le SDA (signature statique), une yes-cards n’est plus réalisable en CDA (ou tout autre moyen de signature), car la prévision de signature est impossible (échange d’aléa entre terminal de paiement de carte, le terminal étant maitre)

    L’algo pour savoir si un PAN est cohérent, c’est la clé de Luhn (sorte de CRC)

    Et pour les ‘vieilles’ cartes a uniquement bande magnétique, comment dire, ca n’existe plus ? (sauf aux US, ou ca migre petit à petit)
    En France, vous avez forcément une puce, et tout terminal en France ne lira pas la bande magnétique d’un carte française.

    Sinon, effectivement, le risque est nul, car le PIN est impossible à détecter. Et simuler une bande magnétique, SamSung le fait déjà avec le SamsungPay. (mais en rendant la piste magnétique ‘dynamique’) Rien de novateur.

    Après, oui, c’est ‘drole’ de prédire le PAN et la date d’expiration, mais ca ne sert à rien. (d’autant plus qu’il n’y à pas le CVV, les 3 chiffres à l’arriere de la carte)

  2. Rien capté et l’encart vidéo est blanc …

    Après avoir reçu sa nouvelle carte bancaire (une American Express), il s’est rendu compte que le numéro de la carte suivait un certain schéma.

    Mais à ce niveau là cela relève plus du message divin … que du hack !

  3. les péages, les barrières de parking, … ne demandent pas de code …et donc ne lisent surement pas la puce…

  4. Et pourtant, si :slight_smile: (du moins en France)

    édit : et pour l’aspect sécuritaire dans ces cas, il y a une demande d’authorisation sur le serveur de ta banque

Continuer la discussion sur Korben Communauté

5 commentaires supplémentaires dans les réponses

Participants

Comment découper une carte SIM sans la bousiller

vec certains téléphone, ça devient une vraie galère au niveau des cartes SIM. Entre la SIM classique (MiniSIM), la MicroSIM et la NanoSIM, difficile de s’y retrouver et surtout de passer d’une plus grande à une plus petite sans devoir attendre que les opérateurs veuillent bien se donner la peine de vous l’envoyer…

Lire la suite


6 outils pour cloner un disque dur sous Windows et Linux

Cloner c’est facile… Bon, ok, cloner un bébé, c’est déjà plus complexe mais un disque dur, c’est l’enfance de l’art… Alors bien sûr le logiciel le plus connu pour ça, est Ghost de Symantec mais au prix de 999,99 euros HT (j’déconne, je ne connais pas le prix en vrai), c’est déjà plus rentable de se mettre à cloner son petit frère artisanalement dans le garage…

Lire la suite