Plus besoin de dégainer une arme à feu en pleine journée ou de creuser un tunnel en pleine nuit pour braquer la banque. Le smartphone, cet objet à tout faire, peut suffire.
“On peut vider le distributeur seulement en tapotant sur son smartphone”, indique en effet Josep Rodriguez, chercheur en sécurité informatique pour la société IOActive qui a passé l’année dernière à scruter et signaler les failles liées au NFC, la technologie que l’on utilise notamment pour le paiement sans contact ou les titres de transport dématérialisés.
Sans donner de nom, tout en indiquant avoir prévenu la société concernée, il explique avoir repéré plusieurs failles de sécurité dans une marque de distributeurs automatiques dont il peut faire cracher les billets. Sans s’étendre grandement sur le mode opératoire, le spécialiste indique avoir conçu une application Android pour exploiter ces failles et passer par la liaison sans-contact NFC.
“Il y a beaucoup de possibilités ici”. Les failles lui permettent en effet de pirater les distributeurs automatiques de billets, mais aussi les terminaux de paiement. Il dit pouvoir modifier le montant des transactions. “Vous pouvez modifier le firmware et changer le prix à un dollar, par exemple, même lorsque l’écran indique que vous payez 50 dollars”. Et d’ajouter à la liste des possibilités : “Vous pouvez rendre l’appareil inutilisable ou installer un ransomware”.
Le spécialiste déplore enfin le manque de mises à jour logicielles. Une chose s’expliquant notamment par le fait que la mise à jour nécessite dans un grand nombre de cas un accès physique. C’est la raison pour laquelle il a décidé d’aborder le sujet après avoir gardé ses découvertes secrètes pendant une année complète.
Il compte d’ailleurs partager prochainement les détails techniques des vulnérabilités dans le cadre d’un webinaire dans les semaines à venir, de manière à faire bouger les choses. “Ces vulnérabilités sont présentes dans les micrologiciels depuis des années, et nous utilisons ces appareils quotidiennement pour gérer nos cartes de crédit, notre argent. Ils doivent être sécurisés”, estime-t-il.
Source : Wired via Journal du Geek
La Freebox Ultra promet des débits très élevés, mais encore faut-il disposer de l’équipement adapté…
Une deuxième mise à jour pour la carte de couverture mobile de l'opérateur, avec cette…
Dans le Tarn, la cour d’appel de Toulouse a ordonné le retrait d’une installation de…
Face à des risques croissants, la Commission européenne déploie une nouvelle boîte à outils visant…
Free Mobile poursuit son déploiement de réseau mobile, dans un mois sans coup d'éclat pour…
Disney+ supprime Dolby Vision, HDR10+ et la 3D sur fond de litige autour de brevets.…