26/04
Quand le smartphone permet de braquer un distributeur de billets
Plus besoin de dégainer une arme à feu en pleine journée ou de creuser un tunnel en pleine nuit pour braquer la banque. Le smartphone, cet objet à tout faire, peut suffire.
“On peut vider le distributeur seulement en tapotant sur son smartphone”, indique en effet Josep Rodriguez, chercheur en sécurité informatique pour la société IOActive qui a passé l’année dernière à scruter et signaler les failles liées au NFC, la technologie que l’on utilise notamment pour le paiement sans contact ou les titres de transport dématérialisés.
Diverses possibilités
Sans donner de nom, tout en indiquant avoir prévenu la société concernée, il explique avoir repéré plusieurs failles de sécurité dans une marque de distributeurs automatiques dont il peut faire cracher les billets. Sans s’étendre grandement sur le mode opératoire, le spécialiste indique avoir conçu une application Android pour exploiter ces failles et passer par la liaison sans-contact NFC.
“Il y a beaucoup de possibilités ici”. Les failles lui permettent en effet de pirater les distributeurs automatiques de billets, mais aussi les terminaux de paiement. Il dit pouvoir modifier le montant des transactions. “Vous pouvez modifier le firmware et changer le prix à un dollar, par exemple, même lorsque l’écran indique que vous payez 50 dollars”. Et d’ajouter à la liste des possibilités : “Vous pouvez rendre l’appareil inutilisable ou installer un ransomware”.
Des appareils qui doivent être à jour
Le spécialiste déplore enfin le manque de mises à jour logicielles. Une chose s’expliquant notamment par le fait que la mise à jour nécessite dans un grand nombre de cas un accès physique. C’est la raison pour laquelle il a décidé d’aborder le sujet après avoir gardé ses découvertes secrètes pendant une année complète.
Il compte d’ailleurs partager prochainement les détails techniques des vulnérabilités dans le cadre d’un webinaire dans les semaines à venir, de manière à faire bouger les choses. “Ces vulnérabilités sont présentes dans les micrologiciels depuis des années, et nous utilisons ces appareils quotidiennement pour gérer nos cartes de crédit, notre argent. Ils doivent être sécurisés”, estime-t-il.
Source : Wired via Journal du Geek