Il pirate un distributeur de billets avec un smartphone et retire autant d’argent qu’il veut
Photo d’illustration. Par Tof Locoste On en a tous rêvé un jour : retirer de l’argent gratuitement depuis le distributeur automatique de la banque. Josep Rodriguez, chercheur en sécurité informatique, l’a fait en utilisant une application Android, développée par ses soins. Chargé de détecter les failles des banques, il est parvenu à pirater les distributeurs de billets dotés d’un lecteur sans contact NFC, bientôt disponibles en France. Publicité Le hacker alerte sur ces nouveaux distributeurs sans contact qu’il a pu vider avec une facilité déconcertante depuis son smartphone. Il a détecté de nombreuses failles durant ses tests. Très facilement piratables, il est également possible de modifier les valeurs de transactions à distance sans que l’utilisateur du guichet s’en rende compte ou encore de rendre l’appareil inutilisable ou d’y installer un logiciel de rançon (ransomware). Selon le chercheur, plus on ouvre d’accès à un système bancaire, plus on a de risques d’être piraté. Josep Rodriguez est parvenu à retirer de l’argent sur au moins une famille de système d’une banque, dont il ne souhaite pas donner le nom par souci de confidentialité. Interrogé par Wired, l’expert précise que son attaque s’appuie sur les nombreuses failles trouvées dans le lecteur NFC couplées aux défauts du logiciel de configuration du distributeur automatique. La principale faiblesse réside aujourd’hui dans le fait que les lecteurs sans contact ne vérifient pas la taille des messages reçus. La mémoire tampon des machines, qui sert à stocker temporairement des données, peut vite être saturée et inutilisable. C’est cette brèche qui permet ensuite de retirer autant d’argent que l’on souhaite. Si le chercheur ne compte pas détailler tous les aspects techniques de son hack pour éviter de donner des idées à des esprits mal intentionnés, il présentera le fruit de ses recherches lors d’une conférence en ligne dans les prochaines…