Un pirate informatique affirme pouvoir hacker des distributeurs automatiques de billets avec son téléphone portable
Un pirate informatique de type white hat, membre de l’Organisation IOActive a expliqué qu’il avait découvert une vulnérabilité critique dans la sécurité de plusieurs distributeurs automatiques de billets équipé d’un lecteur NFC.
Selon l’expert, Les constructeurs distributeur ont été très négligent au niveau de la sécurité des composants. Dans ce contexte il y a possible alors de prendre d’assaut c’est même mon appareil informatique de manière très discrète en cherchant à dépasser la mémoire tampon.
Cet article va aussi vous intéresser : Les attaques contre le distributeur automatique de billets en Europe
Depuis un certain moment la sécurité des distributeurs automatiques de billets intéresse plus d’un expert en sécurité informatique. C’est un outil informatique assez particulier car il doit répondre à 2 exigences sécuritaires :
– la sécurité physique des billets qu’il conserve.
– la sécurité informatique contre tout assaut de nature numérique.
Et tout ceci alors qu’ils sont installés dans des endroits publics ou n’importe qui peut y accéder.
C’est pourquoi les chercher en sécurité informatique ont commencé à réaliser des études sur leur sécurité. Ils ont alors découvert que ses appareils informatiques n’étaient pas du tout protégés comme on le croyait. Malgré cela les attaques informatiques qui ciblaient ses distributeurs et à réaliser à travers des ports USB cachés dans le casier de l’appareil. La menace était tellement improbable qu’il était difficile de penser que quelqu’un allait procéder de la sorte et surtout en pleine journée.
Récemment la donne a changé car le chercheur monte en parler plus haut a découvert un moyen beaucoup plus simple de s’en prendre assez distributeur de billets. Et le fait que ses appareils soient sous vidéo surveillance ne change pas vraiment quelque chose à la menace qui vient de découvrir.
En effet en dehors de l’attaque physique par port USB. Il peut-être à réaliser des attaques de type réseau. Pour cela il faudra connaître avec précision les composants et les caractéristiques du distributeur ciblé. Et bien évidemment l’attaque est sensible en ce sens que l’auteur de cette dernière peut-être facilement détecté, cause de dispositif de sécurité souvent présente dans les banques.
Le hacker connu sous le nom de Josep Rodriguez, par ailleurs consultant de la société de cybersécurité IOActive, depuis longtemps montrer son intérêt pour la sécurité des distributeurs, surtout pour ce qui concerne l’utilisation de la technologie NFC. En effet distributeur aujourd’hui utiliser cette technologie.
Si elle n’est pas utilisée par toutes les banques, NFC est présente dans beaucoup de distributeurs aujourd’hui en Europe, États-Unis… Selon le Chercheur en sécurité informatique, elle serait une grosse vulnérabilité pour la sécurité des distributeurs de billets. Le hacker éthique affirmant avoir pu initié une attaque informatique une grâce à son téléphone portable intelligent, une attaque appelée de « dépassement mémoire tampon » lecteur NFC du distributeur.
Selon ses explications, l’attaque informatique aurait fonctionné tout simplement parce que le système d’exploitation embarqué dans le distributeur ciblé ne limitait pas la quantité de données qui pouvait entrer à travers le lecteur NFC. Et lorsque la quantité de données pouvant être stockées par la RAM est dépassée, les données sont toujours écrite dans les adresses mémoires adjacentes. Avec un peu de savoir-faire au niveau de l’ingénierie, il est possible alors de demander à la machine d’exécuter certaines tâches. Dans son test, le pirate informatique a réussi à faire monter la machine tous les numéros de carte bancaire qui sont passées par le lecteur. Il réussit alors à changer sur le coup le montant des transactions effectuées par ces derniers. Il a même réussi à obliger le distributeur à distribuer tout le contenu de billets qu’il avait. Une attaque appelée communément le « Jackpotting ».
La correction de cette vulnérabilité sur l’ensemble des distributeurs qui sont vulnérables ne sera pas une mince affaire. Cela risque de prendre beaucoup de temps.
« Rodriguez a construit une application Android qui autorise son smartphone à imiter les communications radio des cartes bancaires et exploiter des failles dans le firmware NFC du système. En agitant son smartphone, il peut exploiter une variété de bugs pour faire planter les distributeurs, les pirater pour collecter et transmettre des données de cartes bancaires, changer de manière invisible la valeur de transactions et même verrouiller les appareils tout en affichant un message de ransomware », explique la plateforme The Wired.
Apparemment le chercher en sécurité aurait déjà prévenu les constructeurs ainsi que les bancs de cette faille de sécurité depuis 7 mois. Les concerné sont entre autres : Ingenico, ID Tech, Crane Payment Innovations, BBPOS, Nexgo, et un autre vendeur qui n’a pas voulu être identifié. Pour qu’il soit obligé de corriger la vulnérabilité, le chercheur a promis de divulguer l’ensemble des détails techniques dans les semaines à venir.
De savoir si les fabricants eux-mêmes sont en mesure de corriger techniquement cette vulnérabilité sur l’ensemble des appareils déjà déployées et en circulation. En effet le hacker éthique lui-même reconnaît la difficulté de cette tâche « patcher plusieurs centaines de milliers de distributeurs de billets physiquement, c’est quelque chose qui va prendre pas mal de temps ».
À titre de précision il faut signifier que la démonstration de chercheur en sécurité informatique ne s’est pas faite aux États-Unis mais plutôt à Madrid pour des raisons de sécurité. « Ces vulnérabilités ont été présentes dans les firmware depuis des années, et nous avons utilisé ces appareils quotidiennement pour gérer nos cartes bleues, notre argent. Il faut que cela soit plus sécurisé », conclut le chercheur en sécurité informatique.
Accédez maintenant à un nombre illimité de mot de passe :