Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog

Le Blog de jlduret

Le Blog de jlduret

Pensez juste ou pensez faux mais pensez par vous-même ! Depuis Socrate, le devoir du penseur n’est pas de répéter la doxa du moment mais de la questionner. Sans cette liberté d’exprimer opinions et pensées, point de démocratie.


Les lecteurs de cartes bancaires dangereux ?

Publié par jlduret sur 4 Août 2012, 07:51am

Catégories : #Divers

Les principaux terminaux de paiement exploités aux USA et au Royaume-Unis sont dangereux. Deux experts ont présenté la chose lors du BlackHat de Las Vegas.                                                                    

La grande messe du hacking et de la sécurité informatique, qui s'est tenu la semaine dernière sous le soleil du Nevada, a donné l'occasion à MWR InfoSecurity de démontrer qu'il était possible d'injecter du code dans des lecteurs de carte bancaire. Dominguez Vega et son collègue Nils ont injecté dans un lecteur un jeu de leur conception, une course de voiture. Cette démonstration a pour but de prouver qu'il est possible de manipuler les informations transitant dans le TPE. Les vulnérabilités dans le lecteur, qui débutent par un buffet overflow, peuvent aussi être utilisées pour effectuer une transaction frauduleuse via la carte, imprimer un faux reçu, ... L'attaque à ses limites. La mémoire de la machine étant restreinte, le pirate doit réinstaller son code à chaque utilisation. Trois lecteurs VeriFone ont été exploités pour la recherche. Ils ont été acquis sur eBay.lecteur carte

Selon les chercheurs, la société est en train de travailler sur un patch. "Il faudra un certain temps pour que le correctif soit déployé sur tous les dispositifs" termine les Nils et Vega. Les cartes à puce et le code PIN attenant est devenu obligatoire au Royaume-Uni depuis 2006. Son déploiement sur le sol des États-Unis débutera en avril 2013. A noter que les deux "bidouilleurs" ont découvert d'autres failles dans ces lecteurs. Failles qui pourraient permettre aux pirates de cartes bancaires de se passer de skimmer, les lecteurs pirates de bande magnétique cachés dans des distributeurs de billets.                                                                             

L'une des vulnérabilités passe par un service réseau Ethernet. Lors de cette démonstration, le boitier a joué de la musique et le mot de passe du terminal, le root, a été modifié. Dans le troisième cas, le terminal annonce une erreur dans paiement. Sauf que la machine a enregistré les données bancaires (numéros et mots de passe, le code pin). Il a suffit aux chercheurs d'utiliser une carte à puce modifiée pour récupérer les données. A noter que lors de leurs "hacks", Rafael et Nils ont découverts que des mots de passe étaient préenregistrés dans les boitiers. A VOIR CHEZ ZATAZ                                                                                                                      

Pour être informé des derniers articles, inscrivez vous :
Commenter cet article
L
Merci pour cette mis en garde !
Répondre

Archives

Nous sommes sociaux !

Articles récents