Un chercheur en sécurité a réussi à pirater des guichets automatiques et des systèmes de point de vente en agitant simplement son téléphone. Il a utilisé une collection de bogues pour manipuler les machines et déclencher une vulnérabilité logicielle vieille de dix ans. Son astuce lui a permis de planter les machines, de collecter des données de carte de crédit et même de « jackpoter » certains guichets automatiques.
Beaucoup de gens ont probablement fantasmé sur l’idée de retirer plus d’argent d’un guichet automatique qu’ils n’en ont sur leurs comptes bancaires. Certains ont même essayé avec succès toutes sortes de méthodes pour exploiter les guichets automatiques en bricolant physiquement le matériel des machines. Mais maintenant, un chercheur a réussi à pirater des guichets automatiques et d’autres machines de point de vente (POS) en passant simplement son téléphone au-dessus d’un lecteur de carte sans contact.
Selon Wired, Joseph Rodriguez, consultant en sécurité chez IOActive, a réussi à exploiter une faille dans le système NFC des guichets automatiques et des systèmes de point de vente largement répandus dans les centres commerciaux, les restaurants et les magasins de détail. Il a utilisé un téléphone avec NFC et une application Android qu’il a conçue pour infecter les puces du lecteur NFC de ces machines avec une variété de bugs pour les planter, les pirater pour collecter des données de carte de crédit, changer de manière invisible la valeur des transactions, et même “jackpot ” certains guichets automatiques en crachant de l’argent liquide. Cependant, le dernier exploit a également nécessité la manipulation des vulnérabilités existantes dans le logiciel des guichets automatiques.
« Vous pouvez modifier le firmware et changer le prix à un dollar, par exemple, même lorsque l’écran indique que vous payez 50 dollars. Vous pouvez rendre l’appareil inutilisable ou installer une sorte de ransomware. Il y a beaucoup de possibilités ici », a déclaré Rodriguez à Wired. “Si vous enchaînez l’attaque et envoyez également une charge utile spéciale à l’ordinateur d’un guichet automatique, vous pouvez gagner le cash-out semblable à un guichet automatique, simplement en appuyant sur votre téléphone”, a-t-il ajouté.
Rodriguez a commencé ses recherches sur la possibilité de pirater les lecteurs de cartes sans contact des guichets automatiques en achetant des lecteurs NFC et des appareils de point de vente sur eBay. Il a rapidement découvert que beaucoup d’entre eux ne validaient pas la taille du paquet de données envoyé via NFC d’une carte de crédit au lecteur. À l’aide d’une application Android personnalisée, il a envoyé un paquet de données des centaines de fois plus volumineux que ce que la machine attendait, déclenchant ainsi un « débordement de mémoire tampon », une vulnérabilité logicielle vieille de plusieurs décennies qui permet à un attaquant de corrompre la mémoire d’un appareil et d’exécuter son propre code.
Rodriguez a informé les marques et les fournisseurs concernés de la vulnérabilité de sécurité il y a environ un an, mais il dit que le nombre de périphériques qui doivent être physiquement corrigés est énorme et prendra beaucoup de temps. Le fait que de nombreux terminaux de point de vente ne reçoivent pas de mises à jour logicielles régulières rend cette faille encore plus dangereuse.
Le chercheur a caché la plupart de ses découvertes pendant un an, mais il souhaite maintenant partager des détails techniques à leur sujet afin de pousser les fournisseurs concernés à mettre en œuvre des correctifs.
Pour en savoir plus :