Carte bancaire : attention, un algorithme est capable de deviner votre code secret

Cacher votre code de carte bancaire avec votre main ne suffit plus. Des chercheurs en sécurité informatique sont parvenus à mettre au point un algorithme capable de deviner le code PIN d'un client depuis un distributeur automatique de billets (DAB).

Comme le rapporte phoneandroid.com, c’est grâce à l'apprentissage automatique que l’algorithme mis au point par les chercheurs parvient à deviner le bon code PIN à 4 chiffres des utilisateurs dans 41% des cas. Un résultat inquiétant qui laisse présager de possibles fraudes à la carte bancaire, même si le phishing reste à ce jour la technique de fraude la plus courante pour obtenir vos coordonnées bancaires.

L’expérience a été menée sur un distributeur de billets trafiqué. L'algorithme tient compte des dimensions spécifiques du DAB et de l'espacement entre les touches pour avoir des prédictions les plus précises possibles. En pratique, l’algorithme est ensuite entraîné à reconnaître les pressions des doigts des personnes sur le clavier et attribue des probabilités spécifiques à un ensemble de suppositions de codes de cartes bancaires possibles.

Les codes à 4 chiffres découverts dans 41% des cas

Afin de mettre au point cet algorithme, les chercheurs ont obtenu et analysé 5800 vidéos de 58 personnes différentes en train de saisir des codes PIN de carte bancaire à 4 ou 5 chiffres sur un DAB qui avait été trafiqué pour l'occasion. Selon phoneandroid, les spécialistes en sécurité informatique se sont laissés  trois essais, soit le nombre d'essais maximal avant de bloquer la carte bancaire, et ont reconstruit la séquence correcte pour un PIN à 5 chiffres dans 30% des cas, et dans 41% des cas pour un PIN à 4 chiffres.

À noter que pour parvenir à créer cet algorithme, les chercheurs ont utilisé une caméra placée sur la partie supérieure du distributeur automatique de billets afin d’avoir les images permettant d’observer les mouvements de mains de l’usager en train de retirer de l’argent. C’est grâce à cette observation que l'algorithme est en mesure d’exclure certaines des touches du clavier en fonction de la main qui ne tape pas le code et ainsi de déduire les chiffres pressés à partir des mouvements de l'autre main en évaluant la distance entre deux touches.

Rassurez-vous, il s’agit donc d’une analyse extrêmement élaborée qui n’est pas accessible à n’importe quel escroc souhaitant voler vos codes. L’algorithme serait même capable d’aller plus loin si la caméra installée sur le distributeur de billets est capable de fournir des sons. Il pourrait en effet aussi être en mesure de reconnaître et de retenir le son émis par chaque touche quand les personnes appuient sur le clavier afin d’obtenir des prédictions de codes encore plus précises.

Astuce : choisir un code PIN à 5 chiffres

Pour se défendre contre ce genre de piratages de cartes bancaires particulièrement élaborés, les chercheurs en sécurité informatique vous conseillent avant tout de choisir de manière systématique un code PIN à 5 chiffres si c’est possible dans votre banque. Il est aussi important d'essayer de cacher au maximum le clavier avec votre main quand vous composez votre code, ce qui rendra compliqué les prédictions d’éventuels hackers ayant placé des caméras pour vous observer.

La troisième astuce est d’utiliser un distributeur de billets avec des claviers virtuels au lieu des claviers mécaniques. Au-delà des distributeurs de billets, il existe également des étuis pour protéger votre carte bancaire. Comme le précise le site du ministère de l'Intérieur, "un étui protecteur d'onde labellisé "anti-RFID" bloque à 99%, le passage des ondes RFID". Autrement dit, votre carte est à l'abri. Veillez cependant à ne pas acheter n'importe quel produit.