De vieilles vulnérabilités concernent les distributeurs de billet du monde entier. Elles n’ont jamais été corrigées pour la plupart et sont désormais exploitables via les lecteurs sans contacts implantés dans les nouveaux DAB. © Richard Villalon, Adobe Stock
Tech

Des failles de sécurité dans les distributeurs d'argent sans contact

ActualitéClassé sous :Sécurité , piratage , distributeur automatique de billets

[EN VIDÉO] Qu'est-ce qu'une cyberattaque ?  Avec le développement d'Internet et du cloud, les cyberattaques sont de plus en plus fréquentes et perfectionnées. Qui est derrière ces attaques et dans quel but ? Quelles sont les méthodes des hackers et quelles sont les cyberattaques les plus massives ? 

Alors que les distributeurs de billets de banque avec lecteur sans contact débarquent en France, un expert est parvenu à « planter » un DAB via la puce NFC de son smartphone Android. Explications.

Les distributeurs de billets de banque (DAB) ont toujours été un terrain de jeu apprécié par les criminels, voire un challenge, et de nombreuses méthodes, plus ou moins destructrices, pour parvenir à leurs fins existent. Avec les DAB dotés de lecteurs sans contact, pas besoin de bricolage pour accéder à l'électronique, ou bien d'ajouter un faux lecteur pour dérober un code de carte bancaire. Un petit panel de bugs existants peut faire tout simplement planter le distributeur, voire mettre la main sur le magot en passant un smartphone sur le capteur sans contact.

Josep Rodriguez, chercheur en sécurité informatique et consultant de la société de sécurité IOActive, a passé l'année dernière à dénicher toutes les vulnérabilités possibles pouvant entourer les puces NFC pour le paiement sans contact. Mais, avant tout, il est parti du constat que pratiquement tous les distributeurs souffrent d'une vulnérabilité aussi vieille que l'informatique. Sur de très nombreux modèles, il est possible de déclencher un débordement de leur mémoire tampon. Un phénomène qui fait « planter » la machine et permet également de corrompre la mémoire pour y implanter éventuellement son propre code malveillant.

Il s'est donc demandé si sur les DAB dotés de lecteurs sans contact, il était possible de servir de ce moyen pour déclencher cette attaque. Bingo ! Le chercheur a rapidement constaté qu'il était effectivement possible d'envoyer un paquet de données d'une taille démesurée par le truchement du NFC d'un smartphone au point de provoquer ce débordement de mémoire. Le bug vient du fait que la taille du paquet de données n'est tout simplement pas validée par le système. Le chercheur a d'ailleurs montré ses manipulations au média Wired pour prouver ce dysfonctionnement.

 Invention pratique et désormais incontournable, le règlement sans contact n’est pas exempt de vulnérabilités comme l’a prouvé un chercheur en sécurité. Les distributeurs équipés de lecteurs de puces NFC/RFID sont pourtant en cours de déploiement en France.© Photoagriculture, Adobe Stock

Une mise à jour difficile à déployer

L'application Android qu'il a mise au point pourrait permettre d'aller plus loin. Il affirme qu'il est possible de pirater les distributeurs afin de collecter et de transmettre des données de la carte de crédit. Les valeurs des transactions pourraient aussi être modifiées de façon invisible pour l'utilisateur, et comble du comble, il serait même possible d'infecter un DAB avec un ransomware.

Selon ses tests, avec au moins une marque de guichet, il est possible de retirer des billets de banque. Il a indiqué que cette faculté provient d'autres bugs logiciels présents dans ces guichets. Des dysfonctionnements pourtant connus, mais non corrigés comme c'est également le cas pour l'attaque par débordement de mémoire tampon. Pour le moment, Josep Rodriguez a refusé de divulguer publiquement ses découvertes autrement qu'avec les fournisseurs de DAB. Malgré le fait qu'ils soient alertés, cela ne veut pas pour autant dire que les machines vont être mises à jour. D'abord, parce qu'elles sont nombreuses et qu'il est souvent nécessaire d'intervenir physiquement dessus.

  • En utilisant le lecteur sans contact d'un distributeur de billet, il est possible de le faire « planter ».
  • Cette méthode pourrait permettre d'infecter le distributeur en lui injectant un ransomware.
  • Sur certains distributeurs, il est même possible de retirer de l'argent via cette technique de piratage en profitant d'autres failles.

---

Découvrez Fil de Science ! Chaque vendredi, dès 18h30, suivez le résumé des actualités scientifiques de la semaine, décryptées pour vous par les journalistes de Futura.

---

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !