Démarrer  Nous contacter 

Paiements

Revenus

Gestion des fonds

Plateformes et places de marché

Par étape
Par cas d'usage
Par secteur d'activité
Documentation
Guides
Ressources
En savoir plus
Assistance
Entreprise
Démarrer  Nous contacter 

Qu'est-ce qu'une attaque par NIB? Voici ce que les entreprises doivent savoir.

Connect
Connect

Les plateformes et places de marché les plus florissantes du monde, dont Shopify et DoorDash, utilisent Stripe Connect pour l'intégration des paiements.

En savoir plus 
  1. Introduction
  2. Comment fonctionnent les attaques par NIB?
  3. Quelles entreprises sont les plus vulnérables aux attaques par NIB?
  4. Comment éviter et atténuer les attaques par NIB?
  5. Bonne pratique pour protéger votre entreprise contre les attaques par NIB
  6. Comment Stripe Connect peut vous aider
  7. Premiers pas avec Stripe 

Un numéro NIB, ou numéro d’identification bancaire, correspond à la séquence initiale de six à huit chiffres qui apparaît sur une carte de crédit, une carte de débit ou toute autre carte de paiement. Cette séquence permet d’identifier l’émetteur de la carte et facilite les transactions financières électroniques en faisant en sorte que la dépense soit envoyée à la bonne institution financière pour le paiement.

Outre l’identification de l’institution financière émettrice, le NIB peut également fournir des informations sur le type de carte (par exemple, carte de crédit, de débit ou carte cadeau), la catégorie de la carte (par exemple, standard, or ou platine) ou la situation géographique de l’institution émettrice. Les numéros NIB jouent un rôle clé en matière de sécurité et de prévention de la fraude dans le cadre des transactions électroniques, en assurant l’authenticité de la carte utilisée et en permettant aux prestataires de services de paiement de mettre en place des processus de gestion des risques appropriés.

Les attaques par NIB sont une forme de fraude à la carte de crédit par laquelle des cybercriminels ont recours à des méthodes de force brute pour deviner des combinaisons valides d’informations de carte bancaire. Rien qu’en 2024, on estime que 62 millions d’Américains ont été victimes de la fraude à la carte de crédit. Lors d’une attaque par NIB, les criminels testent systématiquement de nombreuses combinaisons de numéros de carte de crédit, de dates d’expiration et de valeurs de vérification de cartes (CVV). Une fois qu’ils ont trouvé une combinaison qui fonctionne, ils testent la carte en effectuant de petits achats. Ces attaques peuvent entraîner des pertes financières, des atteintes à la réputation et des perturbations opérationnelles pour les entreprises.

Dans cet article, nous présenterons ce que les entreprises doivent savoir sur les attaques par NIB, y compris leur fonctionnement et comment les déjouer.

Contenu de l’article

  • Comment fonctionnent les attaques par NIB?
  • Quelles entreprises sont les plus vulnérables aux attaques par NIB?
  • Comment éviter et atténuer les attaques par NIB?
  • Bonne pratique pour protéger votre entreprise contre les attaques par NIB
  • Comment Stripe Connect peut vous aider

Comment fonctionnent les attaques par NIB?

Les attaques par NIB reposent sur le fait que des fraudeurs exploitent les numéros NIB pour générer des numéros de carte de crédit ou de débit valides à des fins illicites. Le NIB est la séquence initiale de six à huit chiffres qui figure sur une carte de crédit ou de débit et qui permet d’identifier l’institution financière émettrice ainsi que le type de carte. Le mécanisme de ces attaques est le suivant :

  • Identification du NIB : les auteurs d’attaques commencent par se procurer les NIB de certaines institutions financières ou de certainsémetteurs de cartes, par exemple en achetant des listes de NIB sur le Web clandestin, en les extrayant des données de cartes volées ou en utilisant des informations accessibles au public.

  • Génération des numéros de carte : les auteurs d’attaques génèrent des numéros de carte complets en ajoutant des chiffres générés de manière aléatoire au NIB et en calculant le chiffre de vérification correspondant (généralement le dernier chiffre) à l’aide de l’algorithme de Luhn qui est une formule utilisée pour valider une variété de numéros d’identification. Les attaques par NIB plus complexes peuvent utiliser des scripts automatisés ou des robots pour générer et tester des milliers de numéros de cartes, ce qui permet d’accroître l’efficacité et l’ampleur des attaques.

  • Tentatives de validation : les auteurs d’attaques testent les numéros de carte générés sur des sites Web, généralement ceux ayant des mesures de sécurité faibles ou dont le processus de vérification ne se solde pas immédiatement par une transaction. Il s’agit par exemple d’ajouter une carte à un portefeuille numérique ou vérifier la validité de la carte sur certaines plateformes en ligne.

  • Exploitation : une fois qu’ils ont obtenu un numéro de carte valide, les fraudeurs peuvent s’en servir pour effectuer des transactions ou des achats non autorisés jusqu’à ce que la carte soit bloquée ou que la fraude soit détectée par le titulaire de la carte ou l’institution financière émettrice. Les fraudeurs peuvent se servir des informations de carte pour effectuer des achats en ligne, créer des cartes contrefaites ou vendre des informations sur le Web clandestin.

Ces attaques peuvent entraîner des pertes financières pour les clients et les entreprises, nuire à la confiance envers les institutions financières et augmenter les coûts opérationnels liés à la détection et à la prévention des fraudes.

How BIN attacks work - Ste-by-step guide to how BIN attacks work.

Quelles entreprises sont les plus vulnérables aux attaques par NIB?

Les entreprises les plus exposées aux attaques par NIB sont généralement celles qui traitent un volume élevé de transactions en ligne et qui n’ont peut-être pas mis en place de processus de vérification rigoureux. Il s’agit notamment des :

  • Détaillants en ligne : les entreprises de commerce en ligne qui acceptent les paiements en ligne sont souvent la cible d’attaques par NIB en raison de leur volume de transactions plus élevé ainsi que de l’anonymat que peuvent offrir les achats en ligne.

  • Vendeurs de produits numériques : les entreprises qui vendent des produits numériques tels que des logiciels ou du contenu musical/vidéo sont exposées à des risques, car ces produits peuvent être obtenus de manière rapide et simple, ce qui en fait une cible de choix pour les fraudeurs.

  • Entreprises du secteur du voyage et de l’hôtellerie : les compagnies aériennes, les hôtels et les agences de voyage sont vulnérables aux attaques par NIB, car ces entreprises traitent souvent des transactions de grande valeur et comptent une clientèle internationale, ce qui complique la détection des activités frauduleuses.

  • Entreprises de jeux de hasard et d’argent : les plateformes de jeux d’argent et de hasard en ligne sont des cibles fréquentes pour les attaques par NIB en raison de la nature instantanée et de la valeur élevée des transactions qui y sont effectuées, ainsi que du caractère anonyme associé à ces dernières.

  • Services par abonnement : les entreprises qui proposent des services par abonnement comme les plateformes de diffusion en continu ou les sites Web d’adhésion, courent un risque, car les fraudeurs peuvent exploiter les modèles de facturation récurrente afin d’effectuer des transactions frauduleuses sur une période prolongée.

  • Institutions financières : les banques et les institutions financières peuvent être la cible d’attaques par NIB, car les fraudeurs cherchent à exploiter les faiblesses des systèmes de traitement des paiements et à effectuer des transactions non autorisées.

  • Prestataires de services de paiement : les entreprises qui gèrent le traitement des paiements pour le compte d’autres entreprises sont également vulnérables aux attaques par NIB, car une faille dans leurs systèmes peut avoir de graves conséquences pour les entreprises et leurs clients.

Comment éviter et atténuer les attaques par NIB?

  • Analyse comportementale et apprentissage automatique : mettez en place des modèles avancés d’apprentissage automatique et d’analyse comportementale afin de détecter les tendances des transactions anormales. Ces systèmes peuvent tirer des enseignements des données historiques des transactions, reconnaître les tendances qui signalent une activité frauduleuse et s’adapter aux nouvelles menaces au fil du temps.

  • Utilisation de jetons et chiffrement : en plus du chiffrement de base, vous pouvez avoir recours à l’utilisation de jetons pour remplacer les informations sensibles des cartes par un identifiant unique (jeton) qui n’est d’aucune utilité en cas de violation. Veillez à ce que l’utilisation de jetons soit appliquée à tous les systèmes utilisés pour le traitement et le stockage des informations de cartes. Envisagez également d’utiliser des méthodes de chiffrement avancées, telles que le chiffrement homomorphe, qui permet d’effectuer des calculs sur des données chiffrées, ce qui constitue un niveau de sécurité supplémentaire.

  • 3D Secure 2 : mettez en œuvre la version la plus récente du protocole de sécurité 3D Secure, qui ajoute un niveau d’authentification supplémentaire pour les transactions en ligne et simplifie l’expérience utilisateur tout en renforçant les mesures de prévention de la fraude.

  • Détection de la fraude au niveau du réseau : procédez à des analyses avancées au niveau du réseau afin de détecter et de prévenir les attaques par NIB. Il peut s’agir d’analyser le trafic réseau à la recherche de tendances suspectes, de surveiller les signes d’exfiltration de données et de mettre en place un système de détection d’intrusion (SDI) avancé.

  • Sécurité des points de terminaison : veillez à ce que tous les points de terminaison, en particulier ceux impliqués dans le traitement des transactions, soient sécurisés par des plateformes de protection des points de terminaison avancées qui incluent des antivirus de nouvelle génération, la détection et la réponse des points de terminaison, ainsi que des modèles de sécurité à vérification systématique.

  • Sécurité avancée des applications : adoptez des mesures de sécurité approfondies vis-à-vis des applications, notamment en procédant à des vérifications régulières du code, en mettant en place un chiffrement au niveau de l’application ainsi que des pare-feu d’applications Web configurés pour détecter et bloquer les schémas d’attaque spécifiques aux attaques par NIB.

  • Inspection approfondie des paquets (DPI) : mettez en place une DPI du périmètre du réseau afin d’évaluer minutieusement le trafic entrant et sortant au niveau de l’application. Il est ainsi possible d’identifier et de bloquer les paquets potentiellement malveillants qui pourraient faire partie d’une attaque par NIB.

  • Authentification rigoureuse : intégrez des méthodes de vérification biométrique telles que les empreintes digitales ou la reconnaissance faciale afin de renforcer l’authentification, en particulier en ce qui concerne les modifications apportées aux modes de paiement. Pour les transactions présentant un risque élevé, il convient d’envisager de mettre en place une authentification basée sur le consentement, pour laquelle l’utilisateur doit explicitement approuver la transaction par le biais d’un canal distinct et sécurisé.

  • Évaluation des risques par l’IA : développez ou intégrez des systèmes fondés sur l’intelligence artificielle (IA) qui attribuent des indices de risque en temps réel aux transactions sur la base d’une multitude de facteurs, notamment le comportement de l’utilisateur, la prise d’empreintes des appareils et le contexte de la transaction. Les transactions qui présentent un indice de risque élevé peuvent donner lieu à des vérifications supplémentaires ou être purement et simplement bloquées.

  • Analyses multicanales et de géolocalisation : procédez à des analyses sur différents canaux (par exemple, les canaux en ligne, mobiles et en magasin) pour détecter des tendances et des liens avec les activités frauduleuses. Cette vision globale permet de découvrir des systèmes de fraude sophistiqués qui exploitent plusieurs canaux. Analysez également les données de géolocalisation des transactions afin de détecter les anomalies, notamment lorsqu’une carte est utilisée à deux endroits éloignés dans un laps de temps improbable.

  • Utilisation de la chaîne de blocs pour la sécurité des transactions : envisagez de faire appel à la technologie de la chaîne des blocs afin de sécuriser les transactions grâce à ses caractéristiques d’immutabilité et de transparence. Les contrats intelligents peuvent permettre d’appliquer automatiquement des règles de transaction, ce qui réduit le risque de fraude.

How to prevent BIN attacks - Infographics showing how to prevent BIN attacks.

Bonne pratique pour protéger votre entreprise contre les attaques par NIB

  • Segmenter votre réseau : divisez votre réseau en segments afin de limiter la propagation d’intrusions potentielles et de permettre une surveillance plus ciblée. Surveillez les segments qui traitent des informations de paiement sensibles afin de détecter les activités inhabituelles et d’y remédier rapidement.

  • Rester à l’affût des menaces : suivez des flux de renseignements en temps réel relatifs aux menaces afin de vous tenir au courant des dernières tactiques d’attaque par NIB et des indicateurs de compromission (IdC). Ces renseignements peuvent être utiles afin de mettre à jour vos mesures de défense et de faire face aux nouvelles menaces de manière plus efficace.

  • Planifier une réponse proactive aux incidents : prévoyez un plan d’intervention en cas d’incidents complexes, spécialement conçu pour faire face aux attaques par NIB. Ce plan doit prévoir des procédures de détection rapide, d’endiguement, d’éradication et de recouvrement, ainsi que des stratégies de communication à l’intention des parties prenantes.

  • Réévaluer en permanence les protocoles de sécurité : évaluez régulièrement votre situation en matière de sécurité au moyen de tests de pénétration, d’évaluations de la vulnérabilité et d’audits de sécurité afin d’identifier et de corriger les lacunes potentielles qui pourraient être exploitées dans le cadre d’une attaque par NIB.

Comment Stripe Connect peut vous aider

Stripe Connect orchestre les mouvements de fonds entre plusieurs parties pour le compte de plateformes logicielles et de places de marché. Il offre une inscription des utilisateurs rapide, des composants intégrés, des virements internationaux, etc.

Connect peut vous aider à :

  • Être opérationnel en quelques semaines : utilisez des fonctionnalités intégrées ou hébergées par Stripe pour accélérer la mise en service en évitant les coûts initiaux et le temps de développement généralement requis pour accepter les paiements.

  • Gérez les paiements à grande échelle : utilisez les outils et services de Stripe afin d’éviter de mobiliser des ressources supplémentaires pour la production de rapports sur les marges, les formulaires fiscaux, la gestion du risque, les modes de paiement mondiaux ou la conformité liée à l’inscription des utilisateurs.

  • Se développer à l’international : aidez vos utilisateurs à attirer davantage de clients dans le monde entier en proposant des modes de paiement locaux et le calcul facile des taxes de vente, de la TVA et de la TPS.

  • Bâtir de nouveaux canaux de revenus : optimisez les revenus des paiements en collectant des frais sur chaque transaction. Monétisez les capacités de Stripe sur votre plateforme en activant les paiements en personne, les virements instantanés, la perception des taxes de vente, les financements, les cartes commerciales, et bien plus encore.

Découvrez-en plus sur Stripe Connect, ou démarrez dès aujourd’hui.

Le contenu de cet article est fourni uniquement à des fins informatives et pédagogiques. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de consulter un avocat compétent ou un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation particulière.

Plus d'articles

  • Un problème est survenu. Veuillez réessayer ou contacter le service d’assistance.

Envie de vous lancer ?

Créez un compte et commencez à accepter des paiements rapidement, sans avoir à signer de contrat ni à fournir vos coordonnées bancaires. N'hésitez pas à nous contacter pour discuter de solutions personnalisées pour votre entreprise.
Connect

Connect

Lancez-vous en quelques semaines au lieu de plusieurs trimestres, et développez une activité de paiement rentable avec facilité.

Documentation Connect

Comment répartir des paiements entre plusieurs destinataires.