Acros Security publie une analyse très amusante des attaques en « arrondi sur les opérations de change ». Le principe est simple, et joue sur le fait que l’arrondi au centime supérieur ou inférieur est différent selon que l’on se situe du côté de l’interface utilisateur « client » ou de celui du logiciel (nécessairement plus précis) utilisé par la banque. Centime après centime, en effectuant de multiples changements de devise sur de très petites sommes et à un rythme élevé, il est possible de gagner beaucoup d’argent… en théorie. Le procédé n’est absolument pas nouveau et avait été exploité notamment durant la période de passage à l’Euro. Le traitement étant totalement automatisé côté banque, on peut qualifier l’opération « d’attaque informatique légale » …
… ou presque. Car certaines banques limitent ou interdisent les opérations automatiques de la part de leur client (mais ne s’interdisent pas toujours la pratique du « high frequency trading »), ou imposent des commissions, des règles d’arrondi, des montants minimum sur les opérations de change qui rendent ce genre d’opération totalement inefficace.
Est-ce la fin d’une belle histoire ? Certainement pas, affirment les auteurs du site. « Many other flaws are not publicly known and it would be a disservice to our existing and future customers to reveal them ». Avec une promesse pareille, gageons que le blog d’Acros risque de gagner quelques lecteurs, même si le passage à l’acte relèvera, pour beaucoup, du domaine du fantasme.
