Une faille dans le lecteur NFC entraîne le piratage des distributeurs automatiques de billets.
La sécurité des distributeurs automatiques de billets attise la curiosité de diverses façons. Il s'agit d'un type d'équipement de sécurité très particulier, car il doit être capable d'assurer à la fois la protection physique des devises et la protection contre les attaques informatiques, tout en étant installé dans des lieux publics. À ce jour, les attaques reposaient sur l'accès à un port USB caché sous le boîtier, voire à des composants internes. Il est donc difficile d'imaginer une personne malintentionnée réaliser ces attaques en public.
Un chercheur de la société de sécurité IOActive Josep Rodriguez a découvert une série de bugs qui lui permettent de pirater les distributeurs automatiques de billets - ainsi qu'une grande variété de terminaux de point de vente - d'une nouvelle manière : en passant son téléphone au-dessus d'un lecteur de carte de crédit sans contact.
Les systèmes NFC nous donnent la possibilité de passer une carte de crédit devant un lecteur - plutôt que de la glisser ou de l'insérer - pour effectuer un paiement ou retirer de l'argent d'un distributeur automatique.
Le chercheur a créé une application Android qui permet à son smartphone d'imiter les communications radio de cartes de crédit et d'exploiter les failles du micrologiciel des systèmes NFC. D'un geste de son téléphone, il peut exploiter une variété de bogues pour faire planter les appareils, les pirater pour collecter et transmettre les données des cartes de crédit, modifier de manière invisible la valeur des transactions, et même de verrouiller les appareils en affichant un message de ransomware. Il a dit également qu'il peut forcer au moins une marque de distributeurs automatiques de billets à distribuer de l'argent - bien que ce piratage "jackpot" ne fonctionne qu'en combinaison avec d'autres bugs qu'il dit avoir trouvé dans le logiciel des distributeurs automatiques de billets. Il a refusé de préciser ou de divulguer publiquement ces failles en raison d'accords de non-divulgation avec les fournisseurs de DAB.
Le chercheur a signalé la faille aux fabricants depuis presque 1an, dont ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo, et un fournisseur non identifié, il y a 7 mois. Néanmoins, pour les obliger à réagir rapidement, il a déjà annoncé qu'il divulguerait des détails techniques dans les semaines à venir.
Reste à savoir s'il est techniquement possible pour les fabricants concernés de corriger la faille de sécurité sur tous les équipements en circulation.