Alors que les distributeurs de billets de banque avec lecteur sans contact débarquent en France, un expert est parvenu à « planter » un DAB via la puce NFC de son smartphone Android. Explications.
au sommaire
Les distributeurs de billets de banque (DAB) ont toujours été un terrain de jeu apprécié par les criminels, voire un challenge, et de nombreuses méthodes, plus ou moins destructrices, pour parvenir à leurs fins existent. Avec les DAB dotés de lecteurs sans contact, pas besoin de bricolage pour accéder à l'électronique, ou bien d'ajouter un faux lecteur pour dérober un code de carte bancaire. Un petit panel de bugsbugs existants peut faire tout simplement planter le distributeur, voire mettre la main sur le magotmagot en passant un smartphone sur le capteurcapteur sans contact.
Josep Rodriguez, chercheur en sécurité informatique et consultant de la société de sécurité IOActive, a passé l'année dernière à dénicher toutes les vulnérabilités possibles pouvant entourer les puces NFC pour le paiement sans contact. Mais, avant tout, il est parti du constat que pratiquement tous les distributeurs souffrent d'une vulnérabilité aussi vieille que l'informatique. Sur de très nombreux modèles, il est possible de déclencher un débordement de leur mémoire tampon. Un phénomène qui fait « planter » la machine et permet également de corrompre la mémoire pour y implanterimplanter éventuellement son propre code malveillant.
Il s'est donc demandé si sur les DAB dotés de lecteurs sans contact, il était possible de servir de ce moyen pour déclencher cette attaque. Bingo ! Le chercheur a rapidement constaté qu'il était effectivement possible d'envoyer un paquet de données d'une taille démesurée par le truchement du NFC d'un smartphone au point de provoquer ce débordement de mémoire. Le bug vient du fait que la taille du paquet de données n'est tout simplement pas validée par le système. Le chercheur a d'ailleurs montré ses manipulations au média Wired pour prouver ce dysfonctionnement.
Une mise à jour difficile à déployer
L'applicationapplication AndroidAndroid qu'il a mise au point pourrait permettre d'aller plus loin. Il affirme qu'il est possible de pirater les distributeurs afin de collecter et de transmettre des données de la carte de crédit. Les valeurs des transactions pourraient aussi être modifiées de façon invisible pour l'utilisateur, et comble du comble, il serait même possible d'infecter un DAB avec un ransomware.
Selon ses tests, avec au moins une marque de guichet, il est possible de retirer des billets de banque. Il a indiqué que cette faculté provient d'autres bugs logiciels présents dans ces guichets. Des dysfonctionnements pourtant connus, mais non corrigés comme c'est également le cas pour l'attaque par débordement de mémoire tampon. Pour le moment, Josep Rodriguez a refusé de divulguer publiquement ses découvertes autrement qu'avec les fournisseurs de DAB. Malgré le fait qu'ils soient alertés, cela ne veut pas pour autant dire que les machines vont être mises à jour. D'abord, parce qu'elles sont nombreuses et qu'il est souvent nécessaire d'intervenir physiquement dessus.
Ce qu’il faut
retenir
- En utilisant le lecteur sans contact d'un distributeur de billet, il est possible de le faire « planter ».
- Cette méthode pourrait permettre d'infecter le distributeur en lui injectant un ransomware.
- Sur certains distributeurs, il est même possible de retirer de l'argent via cette technique de piratage en profitant d'autres failles.