Chalongrat Chuvaree | Getty Images
Pendant des années, les chercheurs en sécurité et les cybercriminels ont piraté les guichets automatiques en utilisant toutes les voies possibles pour accéder à leurs entrailles, de ouvrir un panneau avant et insérer une clé USB dans un port USB à percer un trou qui expose le câblage interne. Aujourd’hui, un chercheur a découvert une collection de bogues qui lui permettent de pirater les guichets automatiques – ainsi qu’une grande variété de terminaux de point de vente – d’une nouvelle manière : avec un mouvement de son téléphone sur un lecteur de carte de crédit sans contact.
Josep Rodriguez, chercheur et consultant de la société de sécurité IOActive, a passé l’année dernière à déterrer et à signaler les vulnérabilités des puces de lecture de communications en champ proche utilisées dans des millions de guichets automatiques et de systèmes de point de vente dans le monde. Les systèmes NFC vous permettent de passer une carte de crédit sur un lecteur, plutôt que de la glisser ou de l’insérer, pour effectuer un paiement ou extraire de l’argent d’un distributeur de billets. Vous pouvez les trouver sur d’innombrables comptoirs de magasins de détail et de restaurants, distributeurs automatiques, taxis et parcmètres à travers le monde.
Rodriguez a maintenant créé une application Android qui permet à son smartphone d’imiter ces communications radio par carte de crédit et d’exploiter les failles du micrologiciel des systèmes NFC. D’un geste de son téléphone, il peut exploiter divers bogues pour faire planter les appareils de point de vente, les pirater pour collecter et transmettre des données de carte de crédit, modifier de manière invisible la valeur des transactions et même verrouiller les appareils tout en affichant un message de ransomware. . Rodriguez dit qu’il peut même forcer au moins une marque de guichets automatiques à distribuer de l’argent, bien que cela hack « jackpotting » ne fonctionne qu’en combinaison avec des bogues supplémentaires qu’il dit avoir trouvés dans le logiciel des guichets automatiques. Il a refusé de spécifier ou de divulguer publiquement ces défauts en raison d’accords de non-divulgation avec les fournisseurs de guichets automatiques.
« Vous pouvez modifier le firmware et changer le prix à un dollar, par exemple, même lorsque l’écran indique que vous payez 50 dollars. Vous pouvez rendre l’appareil inutilisable ou installer une sorte de ransomware. Il y a beaucoup de possibilités ici », explique Rodriguez à propos des attaques sur les points de vente qu’il a découvertes. « Si vous enchaînez l’attaque et envoyez également une charge utile spéciale à l’ordinateur d’un guichet automatique, vous pouvez jackpoter le guichet automatique, comme un retrait, simplement en appuyant sur votre téléphone. »
Rodriguez dit avoir alerté les fournisseurs concernés, dont ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo et le fournisseur de guichets automatiques anonyme, de ses découvertes il y a sept mois à un an. Malgré cela, il prévient que le grand nombre de systèmes concernés et le fait que de nombreux terminaux de point de vente et guichets automatiques ne reçoivent pas régulièrement de mises à jour logicielles – et dans de nombreux cas nécessitent un accès physique pour se mettre à jour – signifient que bon nombre de ces appareils sont probablement restent vulnérables. « Réparer physiquement des centaines de milliers de distributeurs automatiques de billets, c’est quelque chose qui demanderait beaucoup de temps », a déclaré Rodriguez.
Pour démontrer ces vulnérabilités persistantes, Rodriguez a partagé une vidéo avec WIRED dans laquelle il agite un smartphone sur le lecteur NFC d’un guichet automatique dans la rue à Madrid, où il habite, et provoque l’affichage d’un message d’erreur par la machine. Le lecteur NFC semble planter et ne lit plus sa carte de crédit lorsqu’il la touche ensuite à la machine. (Rodriguez a demandé à WIRED de ne pas publier la vidéo par crainte d’une responsabilité légale. Il n’a pas non plus fourni de démo vidéo d’une attaque de jackpot car, dit-il, il ne pouvait légalement la tester que sur des machines obtenues dans le cadre du conseil en sécurité d’IOActive au fournisseur de guichets automatiques concerné, avec lequel IOActive a signé un NDA.)
Les résultats sont « d’excellentes recherches sur la vulnérabilité des logiciels exécutés sur des appareils embarqués », déclare Karsten Nohl, fondateur de la société de sécurité SRLabs et pirate informatique bien connu, qui a examiné le travail de Rodriguez. Mais Nohl souligne quelques inconvénients qui réduisent son aspect pratique pour les voleurs du monde réel. Un lecteur NFC piraté ne pourrait voler que les données de carte de crédit à bande magnétique, pas celles de la victime PIN ou les données des puces EMV. Et le fait que l’astuce de retrait des guichets automatiques nécessiterait une vulnérabilité supplémentaire et distincte dans le code d’un guichet automatique cible n’est pas un mince avertissement, dit Nohl.
Mais les chercheurs en sécurité comme le regretté hacker IOActive Barnaby Jack et l’équipe de Red Balloon Security ont pu découvrir ces vulnérabilités ATM pendant des années et ont même montré que les pirates peuvent déclencher le jackpot ATM à distance. Le PDG et scientifique en chef de Red Balloon, Ang Cui, se dit impressionné par les découvertes de Rodriguez et a peu de doute que le piratage du lecteur NFC pourrait conduire à distribuer de l’argent dans de nombreux guichets automatiques modernes, malgré le fait qu’IOActive retienne certains détails de son attaque. « Je pense qu’il est très plausible qu’une fois que vous avez exécuté du code sur l’un de ces appareils, vous puissiez accéder directement au contrôleur principal, car cette chose est pleine de vulnérabilités qui n’ont pas été corrigées depuis plus d’une décennie », Cui dit. « A partir de là », ajoute-t-il, « vous pouvez contrôler absolument le distributeur de cassettes » qui contient et distribue de l’argent aux utilisateurs.
Rodriguez, qui a passé des années à tester la sécurité des guichets automatiques en tant que consultant, dit qu’il a commencé à explorer il y a un an si les lecteurs de cartes sans contact des guichets automatiques, le plus souvent vendus par la société de technologie de paiement ID Tech, pourraient servir de moyen de les pirater. . Il a commencé à acheter des lecteurs NFC et des appareils de point de vente sur eBay et a rapidement découvert que beaucoup d’entre eux souffraient du même défaut de sécurité : ils ne validaient pas la taille du paquet de données envoyé via NFC d’une carte de crédit au lecteur, connu sous le nom d’unité de données de protocole d’application ou APDU.
En utilisant une application personnalisée pour envoyer un APDU soigneusement conçu à partir de son téléphone Android compatible NFC qui est des centaines de fois plus grand que ce que le lecteur attend, Rodriguez a pu déclencher un « débordement de la mémoire tampon », un type de vulnérabilité logicielle vieux de plusieurs décennies qui permet à un pirate informatique pour corrompre la mémoire d’un appareil cible et exécuter son propre code.
Lorsque WIRED a contacté les entreprises concernées, ID Tech, BBPOS et Nexgo n’ont pas répondu aux demandes de commentaires, et l’ATM Industry Association a refusé de commenter. Ingenico a répondu dans une déclaration qu’en raison de ses mesures d’atténuation de la sécurité, la technique de débordement de la mémoire tampon de Rodriguez ne pouvait que planter ses appareils, pas obtenir l’exécution de code sur eux, mais que, « compte tenu des inconvénients et de l’impact pour nos clients », il a quand même publié un correctif . (Rodriguez rétorque qu’il doute que les mesures d’atténuation d’Ingenico empêchent réellement l’exécution de code, mais il n’a pas réellement créé de preuve de concept pour le démontrer.)
Verifone, pour sa part, a déclaré avoir trouvé et corrigé les vulnérabilités des points de vente que Rodriguez avait mises en évidence en 2018 bien avant qu’il ne les signale. Mais Rodriguez fait valoir que cela ne fait que démontrer le manque de correctifs cohérents dans les appareils de l’entreprise ; il dit avoir testé ses techniques NFC sur un appareil Verifone dans un restaurant l’année dernière et a constaté qu’il restait vulnérable.
Après avoir gardé secrètes bon nombre de ses conclusions pendant une année complète, Rodriguez prévoit de partager les détails techniques des vulnérabilités dans un webinaire dans les semaines à venir, en partie pour pousser les clients des fournisseurs concernés à mettre en œuvre les correctifs que les entreprises ont mis à disposition. . Mais il souhaite également attirer l’attention sur l’état catastrophique de la sécurité des appareils embarqués de manière plus générale. Il a été choqué de constater que des vulnérabilités aussi simples que des débordements de mémoire tampon ont persisté dans tant d’appareils couramment utilisés, ceux qui gèrent des espèces et des informations financières sensibles, rien de moins.
« Ces vulnérabilités sont présentes dans les micrologiciels depuis des années, et nous utilisons ces appareils quotidiennement pour gérer nos cartes de crédit, notre argent », dit-il. « Ils doivent être sécurisés. »
Cette histoire est apparue à l’origine sur wired.com.
