Posez vos pioches, il vide un distributeur de billets avec… un smartphone

De nos jours, les distributeurs automatiques de billets semblent définitivement inviolables… tout du moins, physiquement. Lâchez donc vos pioches et autres marteaux : ce chercheur en cybersécurité est parvenu à vider un distributeur simplement à l’aide de son smartphone.

“On peut vider le distributeur seulement en tapotant sur son smartphone”

Josep Rodriguez d’IOActive est un expert en distributeurs automatiques de billets de banque, dits DAB. Au cours de ses recherches, il a décelé plusieurs vulnérabilités et développé un logiciel malveillant capable de les exploiter. Une seule marque de distributeur automatique de billets serait vulnérable face à cette technique, mais le chercheur ne cite pas son nom et précise avoir prévenu la société concernée.

Évidemment, il ne détaille les fondamentaux techniques de sa découverte, mais il précise tout de même que ce système tire parti du lecteur NFC intégré au distributeur. Grâce au logiciel malveillant — prenant la forme d’une application Android — il est parvenu à faire planter le distributeur et à retirer de l’argent à l’infini. Ce système reposerait sur une faille des lecteurs NFC intégrés aux DAB, qui ne vérifieraient pas spécialement la taille des messages qu’ils reçoivent. De ce fait, il serait possible de faire exploser leur mémoire tampon avant d’y insuffler un malware.

Josep Rodriguez explique que son système pourrait potentiellement servir à d’autres fins. « Vous pouvez modifier le firmware et changer le prix à un dollar, par exemple, même lorsque l’écran indique que vous payez 50 dollars. Vous pouvez rendre l’appareil inutilisable ou installer un ransomware. Il y a beaucoup de possibilités ici » a-t-il indiqué à Wired. 

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.