Retour page d'accueil site sur l'affaire des cartes bancaires
Retour liste vulnerabilités
Code deviné pour les DAB
Comme il existe un peu moins de 10000 codes à 4 chiffres possibles (les codes 0000 et 1234 sont exclus),
le porteur d'une carte bancaire d'un tiers (perdue, volée) peut essayer de le deviner pour retirer de l'argent aux distributeurs,
il dispose de 3 essais avant que la carte ne soit gobée par le distributeur de billets.
Mais comme le nombre d'essais n'est pas stocké sur la piste magnétique, mais au niveau du serveur central de la banque émettrice, le compteur est réinitialisé au bour d'une semaine.
Il suffit d'esayer 2 codes, d'aller
dans un autre distributeur une semaine plus tard et d'en essayer 2 autres et ainsi de suite jusqu'à ce que le bon code soit trouvé.
Comme le code utilisé pour faire une transaction par carte à puce est le même que celui pour faire un retrait avec la piste magnétique,
il peut avoir intérêt à essayer le code d'abord
dans un automate utilisant la puce (de la RATP par exemple).voir ici
Cela laisse donc jusqu'à 6 possibilités de test de code à un instant donné.
Le porteur de la carte bancaire voit sa responsabilité engagée dans ce cas,
mais il peut demander les bandes d'enregistement du DAB pour contester
(démarche entreprise avec succès dans le passé par le cabinet d'avocat Bensoussan)
Retour page d'accueil site sur l'affaire des cartes bancaires
Retour liste vulnerabilités