La capacité d’utiliser des cartes de crédit et de débit en mode sans contact a rendu beaucoup plus pratique les paiements sans contact, mais la technologie de transmission de données qui passe des cartes aux points de vente et aux guichets automatiques n’est pas sans faiblesses. Certaines des plus graves ont été trouvées et rassemblées par l’informaticien Josep Rodriguez, qui a rassemblé ce qu’il a découvert pour mener des attaques ciblées résolument dangereuses, qui en utilisant uniquement le smartphone est arrivé dans un cas exceptionnel à faire pleuvoir de l’argent de l’un des guichets automatiques ciblé.
Communications fallacieuses
Les paiements sans contact reposent sur un système de communication appelé NFC et basé sur des ondes radio de faible intensité : les dispositifs lecteurs reçoivent les informations ainsi transmises par les cartes qui leur sont apportées et autorisent le réseau de paiement à prélever la somme demandée. Rodriguez a analysé comment ces communications ont lieu et quelles données sont échangées et traitées par les produits qui autorisent les paiements, pour trouver des flux d’informations qui – s’ils sont transmis en séquence – pourraient miner les appareils qui ont tenté de les lire. Une fois qu’il a trouvé les vulnérabilités qu’il recherchait, il a codé une application pour smartphone entraînée à transmettre les signaux capables de les déclencher.
Attaques depuis votre smartphone
Les puces capables d’émettre ces signaux sont en effet également présentes à l’intérieur de tous smartphones récents. C’est ce qui permet à ces gadgets de fonctionner comme des cartes de crédit en conjonction avec des systèmes de paiement tels que Google Pay et Apple Pay. C’est ainsi que le chercheur en informatique a réussi à transformer son smartphone en une arme capable d’envoyer en vrille les guichets automatiques et les points de vente de nombreux fabricants. Grâce à cette technique, Rodriguez a réussi à provoquer de simples dysfonctionnements, mais aussi de modifier le comportement des machines pour stocker les données les cartes de crédit d’autrui, changer la valeur des transactions effectuées et bloquer les appareils avec une demande de rançon. Dans une attaque plus particulière basée sur de nombreux autres types de vulnérabilités liées, l’homme a réussi à forcer un modèle ATM particulier à émettre de l’argent à volonté.
Mises à jour en cours
Chez Wired, Rodriguez a déclaré que des attaques similaires peuvent réécrire le code de fonctionnement des machines, par exemple pour « amener le prix réel de chaque produit à un dollar même lorsqu’un montant de 50 est affiché à l’écran ». Les possibilités de telles attaques « sont assez nombreuses ». Le chercheur avait déjà prévenu les fabricants des machines impliquées il y a des mois : il s’agit d’Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo… Ainsi que le fabricant de l’appareil touché par l’attaque la plus grave – dont le nom n’a pas été divulgué. Tout le monde s’est immédiatement mis au travail pour combler les failles logicielles impliquant leurs appareils, mais il est très probable que les machines vulnérables resteront longtemps en circulation : en quelques années, les paiements et les retraits sans contact sont devenus omniprésents et toutes les machines ne peuvent pas être mises à jour rapidement et facilement pour faire face aux découvertes de Rodriguez.
https://www.youtube.com/watch?v=1u8jaWoG_5I