Un «exploit» qui interroge. Un chercheur et consultant travaillant pour une société de sécurité informatique a réussi à trouver des failles pour pirater un distributeur de billets avec son seul smartphone.
Pour y parvenir, Josep Rodriguez est passé par le système NFC installé sur de nouvelles machines de retrait. Celui-ci permet notamment de payer ou, donc, de retirer de l'argent avec son smartphone. Grâce à une application développée sur son téléphone Android, le spécialiste a pu récolter des données confidentielles à partir du distributeur, voire même retirer de l'argent sur les machines d'une marque.
Mais les engins de retrait ne sont pas les seuls à être vulnérables. Interrogé par Wired, Josep Rodriguez explique que des failles sont utilisables sur les systèmes de paiement dans des boutiques par exemple. «Vous pouvez modifier le firmware et changer le prix à un dollar par exemple, alors que l'écran indique que vous payez 50 dollars», assure-t-il.
L'homme a alerté toutes les marques concernées par ces failles, comme Verifone ou Nexgo, qui sont spécialisés dans la fabrication de terminaux de paiement, ainsi que l'entreprise, restée anonyme, de distributeurs de billets. Cependant, malgré son travail de prévention, il explique qu'il est probable que certains systèmes restent vulnérables. «Mettre à jour des centaines de milliers de distributeurs physiquement est quelque chose qui demande beaucoup de temps», regrette-t-il.