Astuce pour protéger son numéro de CB sur Internet

Lorsque vous utilisez votre numéro de carte bancaire sur une machine reliée à Internet, vous vous exposez au risque qu’un keylogger soit installé sur cette machine et enregistre tout ce que vous pouvez saisir au clavier. Ce cas de figure n’est pas forcément rare, et il est également possible que si votre machine n’est pas suffisamment protégée, ce genre d’espion soit en action chez vous ! Il suffit finalement d’un gérant de cyber-café mal intentionné pour que les clients en fassent les frais…

Techniquement, un keylogger enregistre toutes les frappes au clavier. En guise d’exemple, voici ce que donne chez moi une commande sur le site marchand LDLC.com avec comme données (fictives, évidemment) :

- Une référence de produit : Appareil photo Canon EOS 450D
- Une identité: Delphine Talaron (nom du compte : d.talaron, mot de passe du compte : t4l4r0n)
- Un numéro de carte bancaire : 1234 4321 5678 8765
- Une date d’expiration : 09/10
- Un cryptogramme visuel : 123

www<Shift>.ldlc<Shift>.com
canon eos <Shift>450d
d.talaron<Tab>t<Shift>4l<Shift>4r<Shift>0n
<Shift>1234432156788765<Shift>Delphine<Shift>Talaron<Shift>123

On y retrouve l’adresse du site, le contenu de ma recherche, le nom du compte, son mot de passe, le numéro de carte bancaire, le nom du détenteur de la carte et le cryptogramme visuel. Bref, TOUT ce qu’il faut pour refaire un achat sur Internet… à l’exception de la date d’expiration. Pourquoi ? Tout simplement parce que LDLC.com demande la date d’expiration de la carte bancaire sous forme de menu déroulant : la sélection se fait à la souris et le résultat n’apparaît donc pas dans le log.

Il est donc possible que vos informations bancaires apparaissent dans un fichier de ce type, si elles ont toutes été enregistrées au clavier. Mais il est possible de faire enregistrer des valeurs incohérentes dans ce fichier, et ce, assez simplement…

Faisons un nouvel essai, avec quelques variations :

www<Shift>.ldlc<Shift>.com<Ret>
canon eos <Shift>450d<Ret>
d.talaron<Tab>t<Shift>0l<Shift>0r<Shift>0n44
<Shift>103443215678806527<Shift>Delphine<Shift>Talaron<Shift>312312

Qu’est-ce qui a changé ?

- Le mot de passe est devenu t0l0r0n44
- Le numéro de carte bancaire est devenu 1034 4321 5678 8065
- Deux chiffres suivent le numéro de carte bancaire : 2 et 7
- Le cryptogramme est devenu 312
- Trois chiffres suivent le cryptogramme : 3, 1 et 2

Pourtant, j’ai bel et bien entré t4l4r0n pour le mot de passe, 1234 4321 5678 8765 pour le numéro, et 123 pour le cryptogramme !

En réalité, j’ai d’abord saisi des données erronées. Exemple pour la carte bancaire :

1034 4321 5678 8065

J’ai ensuite corrigé les erreurs à la souris, en sélectionnant les mauvais chiffres et en les remplaçant par les bons :

1234 4321 5678 8765

Ainsi, dans le code de carte bancaire, les deux 0 glissés volontairement ont été remplacés par les bons chiffres, qui apparaissent juste après le code bancaire. Du coup, comme il s’agit d’une action à la souris, le log montre le mauvais numéro puis les valeurs ajoutées… sans que l’on puisse déterminer quels chiffres elles remplacent. Le nombre de possibilités est trop grand pour que ces informations soient exploitables. Grâce à ce petit jeu de passe-passe, le keylogger ne pourra pas enregistrer le numéro de carte bancaire correct. Il en est de même pour le mot de passe du compte et le cryptogramme.

En indiquant de mauvaises données et en les corrigeant ensuite à la souris, il est donc possible de tromper n’importe quel outil qui enregistrerait en direct toutes les frappes au clavier.

Attention, ne corrigez pas en utilisant les flèches du clavier : celles-ci sont enregistrées, et permettent de remonter jusqu’aux caractères à remplacer.