Des chercheurs piratent un lecteur de paiement mobile en 10 minutes

Sur le web

Par Elodie le

C’est lors d’une conférence sur la cybersécurité que deux chercheurs ont démontré la vulnérabilité d’un service de paiement en ligne censément sécurisé et utilisé à travers tous les Etats-Unis. Seules 10 petites minutes ont été nécessaires…

square_chercheurs_piratent_paiement_mobile

Les conférences Black Hat aux États-Unis ne sont plus à présenter. Au cours de celles-ci, hackers et chercheurs en sécurité (parfois ils sont une seule et même personne) du monde entier tentent de débusquer les failles des services grand public, et ce, pour la bonne cause.

Lors de la dernière nuit du Hack, qui avait lieu du 20 au 21 juin à l’académie Fratellini à Paris, c’est Qwant qui avait joué le jeu du « Bug Bounty » et exposé son moteur aux feux des attaques des hunter présents sous le chapiteau. Les résultats ne s’étaient pas fait attendre, comme nous l’avait avoué le co-fondateur du moteur de recherche européen, Eric Leandri.

Le 6 août, lors de la conférence Black Hat de Las Vegas, Alexandra Meller et John Moore, chercheurs indépendants diplômés de l’université de Boston, ont prouvé la vulnérabilité du terminal de paiement mobile de la société Square… en 10 minutes.

square

Square, dirigé par Jack Dorsey, co-fondateur de Twitter, est une société dédiée aux petites entreprises n’ayant pas forcément les moyens de se payer un terminal de paiement classique dont l’abonnement peut se révéler couteux, notamment les pourcentages sur les transactions bancaires (c’est pourquoi certains commerces ne prennent la CB qu’à partir d’un montant minimum notamment). Leur solution propose ainsi un ensemble de services fourni avec un lecteur de carte relié que l’on peut relier à un smartphone ou une tablette.

Comment ces chercheurs ont réussi leur forfait ? Avec une simple boite à outils. Fer à souder, tournevis et câble ont suffi pour contourner la puce de chiffrement et détourner le terminal de paiement mobile en collecteur de données bancaires. Une fois détourné, le terminal peut récupérer et exploiter toutes les données de cartes bancaires passées par le lecteur. Mis entre de mauvaises mains, le potentiel de ce hack est dévastateur.

Pour John Moore, prochainement employé chez Google, cela va plus loin puisqu’il précise qu’une application permet de facturer de faux achat après une transaction tout à fait légale, et ce, même des semaines plus tard, ce qu’on appelle une « attaque par playback ».

Une vulnérabilité qui n’est pas spécifique à Square, on pourrait la retrouver chez plusieurs fournisseurs de services mobiles pour les commerçants, mais nos deux chercheurs ont choisi de cibler Square car les transactions financières depuis un smartphone proposées par la compagnie sont en plein essor aux États-Unis.

« Square, en considération de sa taille et de son programme Big Bounty, n’est pas une cible facile, souligne Moore. Nous soupçonnons que les vulnérabilités trouvées sur Square pourraient facilement être appliquées à d’autres services de point de vente mobile ».

Dans une déclaration à l’AFP, Square a mis en cause les cartes de crédit qui continuent de conserver les données bancaires sur les bandes magnétiques, « dont la technologie remonte à l’époque révolue des cassettes ». La firme précise par ailleurs avoir les outils nécessaires pour prévenir l’usage de terminaux endommagés et les empêcher de fonctionner.

Les cartes à bande magnétique, comme les American Express, sont beaucoup plus facilement duplicables que les cartes à puce par exemple. La bande magnétique comprend toutes les informations que l’on peut avoir avec une carte bancaire en main, hormis le cryptogramme de sécurité.

Source: Source