Piratage de distributeurs de billets, maintenant possible via NFC
Pour s’attaquer aux distributeurs de billets, la scie à métaux n’est pas toujours nécessaire : le chercheur Josep Rodriguez de la société IOActive a en effet expliqué auprès du media américain Wired qu’il était parvenu à identifier des failles dans les lecteurs NFC installés sur plusieurs terminaux de paiement et certains modèles de distributeurs de billets. Comme le rapporte le magazine, le chercheur est parvenu à mettre au point une application fonctionnant sur Android et qui lui permet de pirater les systèmes de paiement en approchant son téléphone à portée de l’appareil.
En exploitant les failles découvertes, il peut ainsi récupérer les données de carte bancaire enregistrées sur le terminal de paiement ou forcer un certain modèle de distributeur de billet à livrer les billets contenus dans la caisse. Dans ce dernier cas néanmoins, il explique que le piratage est rendu possible par l’utilisation d’autres failles annexes propres au modèle de distributeur de billet en question. Le modèle exact du distributeur n’a pas été dévoilé, afin de laisser au constructeur la possibilité de corriger les problèmes signalés par le chercheur. Les terminaux de paiement affectés par les failles sont les modèles proposés par D Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS et Nexgo, qui ont été alertés par le chercheur il y a maintenant plusieurs mois.
Jackpotting sans contact
Les failles découvertes par le chercheur affectent principalement les lecteurs NFC installés sur les différentes équipements. Josep Rodriguez explique auprès de Wired que la faille est provoquée par l’absence de validation et de contrôle sur la taille du paquet envoyé au lecteur NFC. En exploitant cette vulnérabilité, le chercheur peut ensuite accéder aux autres composantes de la machine et exploiter d’anciennes failles connues pour parvenir, dans le cas du distributeur de billet, à contrôler le comportement de la machine. Le piratage de distributeur de billets, connu sous le nom de « jackpotting » dans le monde de la sécurité informatique, n’est pas tout à fait une nouveauté en soi.
Jusqu’alors néanmoins, il impliquait dans la plupart des cas un accès physique à la machine, voire l’utilisation d’outils pour endommager l’appareil et accéder à l’ordinateur de contrôle. Les méthodes d’un groupe de criminels français s’attaquant à des distributeurs de billets avaient ainsi été détaillées à l’occasion d’un procès cette année, et leur approche était nettement plus rudimentaire.
La montée en puissance du sans contact offre néanmoins aux chercheurs en sécurité une nouvelle porte d’entrée pour attaquer la sécurité de ces appareils. En la matière, la société IOActive s’est fait un nom en montrant à plusieurs occasions les failles de sécurité qui affectaient les distributeurs de billets et terminaux de paiement : lors d’une conférence donnée en 2010 à la BlackHat, les chercheurs de la société avaient montré comment s’attaquer à certains modèles de distributeurs de billets en accédant à un port USB ou en modifiant les mises à jour logicielles de l’appareil.
