Il pirate des distributeurs de billets avec un Android et une faille NFC !

Vous vous souvenez de la scène dans Terminator 2 où le jeune John Connor vole un distributeur de billets avec un appareil électronique fabriqué par sa mère ? Un consultant en sécurité a réussi la même chose avec un smartphone Android en s’aidant d’une faille dans le protocole NFC…

On savait qu’il était possible de pirater les ATM (distributeurs de billets) avec une clé USB, mais avec le NFC, ce n’est même plus la peine de toucher à la machine !

C’est ce qu’à découvert Josep Rodriguez, un consultant en sécurité spécialisé dans le domaine des ATM. Ce dernier a fait joujou avec la fonctionnalité NFC de différentes machines : des distributeurs de billets, mais aussi des parcmètres, des distributeurs de boissons, des terminaux de paiement, etc. Grâce à une application maison et un appareil Android équipé du NFC, il a pu exploiter différentes failles pour faire planter la machine, afficher des messages et même changer la valeur de la transaction de X € à 1 € (faites des économies avec le NFC !).

Jackpotting !

Plus fort, il a réussi un « jackpotting » sur une marque d’ATM (dont il n’a pas dévoilé la marque) : il a tout simplement pu récupérer de l’argent sans être débité.

Et il ne s’agit pas d’un souci lié à un seul pays, mais d’un problème mondial. Pour faire simple, l’application de Josep se fait passer pour une carte bancaire puis arrive à faire déborder la mémoire tampon de la machine pour y entrer du code étranger. Il s’agit pourtant d’une faille connue liée à l’APDU (application protocol data unit), un paquet de données envoyé vers la machine pour initier la communication. Celui de Josep, 100 fois plus gros que la normale, fait planter le système. Avec un peu de tâtonnement et de persévérance, Josep Rodriguez a pu démontrer encore une fois que le NFC n’est pas vraiment rassurant

Il faut bien sûr que l’ATM dispose d’un lecteur NFC, ce qui est de plus en plus courant. Josep a commencé ses petites manipulations il y a environ un an et a immédiatement averti les fabricants des machines concernées. Petit problème : un ATM ou une machine à café ne se met pas à jour comme un smartphone ou un PC : il faut un accès physique à la machine et patcher tout ça va prendre du temps.

Josep, lanceur d’alerte

Sans pouvoir montrer son protocole en entier, il a quand même fallu que Josep montre qu’il n’est pas un mythomane : il a dû partager une vidéo avec le site WIRED en leur demandant de ne pas la publier de peur de se prendre un procès. Malin. D’autant que certains fabricants ont depuis démenti que leurs appareils étaient vulnérables dans de telles largeurs. Par exemple Verifone (un service qui fournit des solutions de paiement pour les commerces) a expliqué que l’exploit décrit par Josep ne pouvait plus fonctionner depuis 2018.

Le problème c’est que l’expert a expliqué qu’il avait récemment utilisé la technique à Madrid sur un appareil qui n’avait apparemment pas été mis à jour. Bref, la situation est embarrassante. Il a depuis émis l’idée d’en révéler un peu plus pour faire en sorte que les fabricants de ces machines ne minimisent plus la portée d’une faille si critique : « Ces vulnérabilités sont présentes dans les firmwares depuis des années et nous utilisons ces appareils de manière journalière pour gérer nos cartes bancaires et notre argent. Ils doivent être sécurisés ». On espère qu’on ne retrouvera pas notre ami ibérique suicidé de 2 balles dans le dos…

Source : WIRED


Laisser un commentaire