La dure vie des terminaux point de vente

Actualités - Hack - Posté on 26 Nov 2015 at 4:56 par Solange Belkhayat-Fuchs
crédit : Adam Foster

crédit : Adam Foster

C’est, nous apprend un communiqué de la chaîne d’hôtels Hilton, un malware visant certains de ses terminaux points de vente (TPV) qui aurait permis la fuite d’un volume encore non précisé d’identités bancaires durant la période courant du 18 novembre au 5 décembre 2014 et du 21 avril au 27 juillet 2015. Auraient été dérobées des listes de noms, prénoms, numéro de carte, code de sécurité et date d’expiration. Le minimum nécessaire pour alimenter les réseaux de mules spécialisées dans l’achat en ligne. Graham Clueley), Brian Krebs, Network World, Computer Weekly reprennent tous la même litanie, celle des différentes chaînes d’hôtel qui ont été récemment la cible de hacks comparables (mais pas toujours techniquement similaires).

C’est un monde sauvage, celui dans lequel le TPV qui vient de naître a tout de même peu de chances d’atteindre sa maturité sans être infecté. Samy Kamkar, l’homme qui démarre les automobiles et ouvre les portes de garage avec moins de 30 euros d’électronique, publie le plan d’un tout petit hack de TPV plein de simplicité et d’intelligence. Un microcontrôleur, des drivers de moteur assez costauds pour jouer le rôle d’amplificateur, une antenne de type « boucle magnétique » (plus longue à bobiner qu’à souder), et ce montage peut faire croire à n’importe quel terminal de payement qu’il est en train de lire une véritable carte de crédit, qu’il n’est pas nécessaire de vérifier la transaction ou sa validité à l’aide de la puce intégrée, ou que la carte est émise par une banque éminente de Papouasie ou de La Barbade. Tout le travail de Kamkar repose sur l’analyse des données contenues sur la piste magnétique d’une carte (lecture au sens littéral du terme puisque le chercheur utilise de la limaille d’oxyde de fer pour faire apparaître les données inscrites). Qui veut jouer ?

Laisser une réponse