Le hacker alerte sur ces nouveaux distributeurs sans contact qu’il a pu vider avec une facilité déconcertante depuis son smartphone. Il a détecté de nombreuses failles durant ses tests. Très facilement piratables, il est également possible de modifier les valeurs de transactions à distance sans que l’utilisateur du guichet s’en rende compte ou encore de rendre l’appareil inutilisable ou d’y installer un logiciel de rançon (ransomware). Selon le chercheur, plus on ouvre d’accès à un système bancaire, plus on a de risques d’être piraté.

Josep Rodriguez est parvenu à retirer de l’argent sur au moins une famille de système d’une banque, dont il ne souhaite pas donner le nom par souci de confidentialité. Interrogé par Wired, l’expert précise que son attaque s’appuie sur les nombreuses failles trouvées dans le lecteur NFC couplées aux défauts du logiciel de configuration du distributeur automatique.

La principale faiblesse réside aujourd’hui dans le fait que les lecteurs sans contact ne vérifient pas la taille des messages reçus. La mémoire tampon des machines, qui sert à stocker temporairement des données, peut vite être saturée et inutilisable. C’est cette brèche qui permet ensuite de retirer autant d’argent que l’on souhaite. Si le chercheur ne compte pas détailler tous les aspects techniques de son hack pour éviter de donner des idées à des esprits mal intentionnés, il présentera le fruit de ses recherches lors d’une conférence en ligne dans les prochaines semaines.

VICE France est aussi sur Twitter, Instagram, Facebook et sur Flipboard.
VICE Belgique est sur Instagram et Facebook.