Un hacker “white hat” de la firme IOActive raconte comment il a découvert une faille béante de sécurité dans les distributeurs de billets équipés d’un lecteur NFC. Selon lui, les fabricants de distributeurs ont négligé la sécurité de ce composant au point qu’il est possible de mener discrètement des attaques par dépassement de mémoire tampon.
La sécurité des distributeurs automatiques de billets captive l’imagination à plus d’un titre. On a là des équipements sécurisés très singuliers puisqu’ils doivent être capables d’assurer à la fois la protection physique de devises, et une protection contre les attaques informatiques, tout en étant installés dans des lieux publics.
Depuis quelques années divers chercheurs ont montré que la sécurité de ces distributeurs était loin d’être infaillible. Cependant, jusqu’ici, les attaques reposaient sur un accès à un port USB caché sous le casing, voire à des composants internes. De sorte qu’il est difficile d’imaginer une personne malveillante effectuer ce genre d’attaques dans la nature en pleine journée.
UN CHERCHEUR DÉCOUVRE UN MOYEN INQUIÉTANT D’ATTAQUER LES DISTRIBUTEURS DE BILLETS
Surtout lorsqu’on prend en compte le fait que ces appareils sont généralement sous vidéosurveillance. D’autres attaques, notamment réseau, sont possibles. Mais elles requièrent une connaissance précise des caractéristiques du distributeur cible, tout en exposant l’auteur de l’attaque à se faire détecter, compte-tenu des dispositifs de sécurité installés par les banques.
Josep Rodriguez un consultant pour la firme de sécurité IOActive est ce qu’on appelle un “white hat” ou hacker éthique. Il s’intéresse depuis longtemps à la sécurité de ces distributeurs, mais aussi à la technologie NFC. Or, vous l’avez sans doute remarqué : certains distributeurs embarquent désormais un lecteur NFC.
Celui-ci n’est pas utilisé par toutes les banques, mais comme l’explique Josep Rodriguez, c’est une porte d’entrée béante dans la machine en raison d’une faille de sécurité connue depuis des années. Il explique en effet être parvenu, via un simple smartphone, à déclencher une attaque dite de “dépassement mémoire tampon” via le lecteur NFC d’un distributeur.
Ce type d’attaque fonctionne parce que le système d’exploitation du distributeur ne délimite pas la quantité de données qui peut entrer via NFC. Lorsque la quantité de données dépasse l’espace alloué dans la RAM, les données continuent de s’écrire dans les adresses-mémoire adjacentes, utilisées par d’autres parties du système. Avec un peu de rétro-ingénierie, il lui est alors possible d’effectuer à peu près tout ce que bon lui semble sur la machine cible.
CORRIGER LA FAILLE DE SÉCURITÉ NFC SUR TOUS LES DISTRIBUTEURS DE BILLETS EN CIRCULATION PRENDRA DU TEMPS
Il a par exemple pu dire à la machine de noter tous les numéros de carte bancaire qui passent par son lecteur, changer à la volée le montant de transactions, et même dans au moins un cas forcer le distributeur à distribuer tout son contenu (attaque aussi connue sous le nom “Jackpotting”). Wired explique :
“Rodriguez a construit une application Android qui autorise son smartphone à imiter les communications radio des cartes bancaires et exploiter des failles dans le firmware NFC du système. En agitant son smartphone, il peut exploiter une variété de bugs pour faire planter les distributeurs, les pirater pour collecter et transmettre des données de cartes bancaires, changer de manière invisible la valeur de transactions et même verrouiller les appareils tout en affichant un message de ransomware”.
Le chercheur en sécurité a prévenu il y a entre 7 mois et un an les fabricants de du problème, dont ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo, et un vendeur non identifié en raison d’une faille de sécurité encore plus grave. Néanmoins, pour les forcer à agir rapidement il a déjà annoncé qu’il divulguera des détails techniques dans les prochaines semaines.
Reste à savoir s’il est techniquement possible, pour les fabricants concernés, de réellement colmater la faille de sécurité sur tous les appareils en circulation. Josep Rodriguez le reconnaît d’ailleurs lui-même : “patcher plusieurs centaines de milliers de distributeurs de billets physiquement, c’est quelque chose qui va prendre pas mal de temps”.
