Actualités

NFC : quand une vulnérabilité permet de mimer un lecteur TPE ou une carte bancaire… depuis un smartphone intégrant la connectivité !

En 2012, la Near Field Communication (NFC) était mise à mal et à nue via la mise en relief d’une vulnérabilité au sein des cartes bancaires (CBs) permettant le paiement sans contact, depuis un Terminal de Paiement Electronique (TPE) : Joseph Rodriguez, chercheur et consultant sécuritaire au sein de IOActive a réalisé un PoC permettant d’extirper frauduleusement de l’argent depuis un Distributeur Automatique de Billets (DAB) via un simple terminal mobile intégrant la connectivité NFC…

 

 

Selon les propos recueillis par Wired, cette incursion inopinée est explorée par le chercheur depuis 2020 qui a pu faire aboutir son PoC en développant une application mobile Android. De là, le terminal mobile est interprété en tant que TPE pour faire dysfonctionner le système d’un DAB par exemple pour les finalités suivantes :

 

  • Collecte et transmission de données de carte de crédit,
  • Modification des transactions bancaires (sans traces),
  • Modification des valeurs de devises,
  • Verrouillage des appareils infectés (avec notification ransomware),
  • Distribution d’argent depuis un DAB : “au moins une marque“.

 

Concernant le dernier point (assimilé à du jackpotting), il requiert un piratage plus avancé via l’exploit de “bugs supplémentaires” au sein des logiciels-firmwares présents dans ces distributeurs. Wired a retransmis l’information tout en soulignant que, pour l’heure, du fait d’un accord de non-divulgation signé, le PoC n’est pas plus amplement détaillé par le chercheur lui-même. Voici la liste des entreprises qui ont été alerté de l’exploit entre “7 mois et 1 an” :

 

  • ID Tech,
  • Ingenico,
  • Verifone,
  • Crane Payment Innovations,
  • BBPOS,
  • Nexgo,
  • “Fournisseur anonyme” (non-divulgué).

 

La démonstration a été effectuée à Madrid (vidéo mais, pour l’heure, non-partagée…) où le smartphone est apposé sur un lecteur NFC ce qui génère un message d’erreur. Des limitations peuvent être trouvées, cependant : si les fonds seraient entièrement aspirables pour une CB donnée, code PIN et données de la micro-puce (EMV) ne le seraient pas pour autant. “Ces vulnérabilités sont présentes dans les micrologiciels depuis des années, et nous utilisons ces appareils quotidiennement pour gérer nos cartes de crédit, notre argent. Ils doivent être sécurisés”, finalise Joseph Rodriguez qui confirme qu’il partagera les détails techniques de cet exploit “dans les semaines à venir” au cours d’un webinaire, afin que les fournisseurs concernés n’oublient pas à déployer assez rapidement des correctifs, tout en informant les consommateurs. Le cas de Verifone a été cité : dès 2018, le chercheur avait alerté l’entreprise qui avait confirmé avoir corrigé certaines vulnérabilités à ce niveau ; des vulnérabilités qui étaient, pourtant, encore effectives en 2020 et au cours d’une transaction au sein d’un restaurant, selon les tests de Joseph Rodriguez… A veiller !

 

 

Source : Wired – 24 Juin 2021 – DABs, TPEs : jackpotting possible depuis un terminal mobile sous Android exploitant le NFC.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.0