Passer au contenu

Ce hacker a vidé un distributeur de billets grâce à son lecteur NFC et un simple smartphone

Un chercheur en sécurité dit avoir trouvé un moyen de retirer de l’argent d’un distributeur avec une appli Android malveillante, en s’appuyant notamment sur des failles trouvées dans les lecteurs NFC.

Plus on multiplie les interfaces d’accès d’un système, plus on augmente aussi les vecteurs d’attaque potentiels. Cette évidence semble avoir été confirmée de manière inattendue par le chercheur en sécurité Josep Rodriguez d’IOActive dans le domaine des distributeurs automatiques de billets de banque (DAB). Certains d’entre eux disposent désormais d’un lecteur NFC pour accéder aux données d’un compte et retirer de l’argent en utilisant un smartphone.

Interrogé par Wired, l’expert a développé une application Android qui lui permet de pirater un DAB au travers de cette interface NFC et de retirer de l’argent. Il a pu confirmer ce hack sur au moins une famille de systèmes du marché. En raison d’un accord de confidentialité, il ne souhaite pas donner le nom de cette marque, mais précise que son attaque s’appuie sur des failles trouvées dans le lecteur NFC, ainsi que dans le logiciel du DAB. « On peut vider le distributeur seulement en tapotant sur son smartphone », souligne-t-il.

A découvrir aussi en vidéo :

 

Évidemment, il ne détaille pas non plus les aspects techniques de son hack. Il révèle néanmoins qu’une partie du problème réside dans le fait que les lecteurs NFC ne vérifient pas la taille des messages reçus. Il est donc assez simple de provoquer un dépassement de mémoire tampon. Cela n’est pas suffisant pour pirater le système, mais c’est un bon début.

Josep Rodriguez a également testé toute une série d’équipements de points de vente NFC et trouvé, là encore, toute une série de failles permettant de pirater ces équipements. « Vous pouvez modifier le firmware et changer le prix à un dollar, par exemple, même lorsque l’écran indique que vous payez 50 dollars. Vous pouvez rendre l’appareil inutilisable ou installer un ransomware. Il y a beaucoup de possibilités ici », explique-t-il auprès de Wired. Le chercheur compte détailler ces trouvailles dans ce cadre d’un webinar qu’il compte organiser dans les prochaines semaines.

Source : Wired

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Gilbert KALLENBORN
Les dernières actualités
Dji Power 1000 2
Après les drones, DJI se lance dans les stations électriques portables
Iphone Daisy Recyclage
Recyclage : Apple détruirait des iPhone en état de fonctionner
Google Logo Flou
Google licencie des employés après des manifestations contre le « Projet Nimbus »
Huawei Pura 70
Huawei met en vitrine sa nouvelle gamme Pura 70
Drapeau européen
Le régulateur européen émet de fortes réserves sur le système « Payer ou Consentir » : quelles conséquences pour Meta ?
Nothing Ear (a) Une 1
Nothing Ear et Ear (a) : les écouteurs sans fil à moins de 150 euros repartent de zéro
Nouveau Robot Atlas Boston Dynamics
N’ayez pas peur, Boston Dynamics présente son nouveau robot humanoïde
Iphone 15 Apple
Vendu au prix de l’occasion, cet iPhone 15 neuf va partir comme des petits pains 🥖
Top téléchargements