C’est tout à fait courant : un bon repas dans un petit restaurant pop-up, un moment sympa entre amis et en fin de soirée l’addition. Vous réglez normalement en espèces, mais là vous n’avez pas assez sur vous. Mais ce n’est pas un problème, l’établissement vous laisse payer par carte après tout. Vous payez l’addition et vous rentrez chez vous. Quelques jours plus tard, en vérifiant votre compte bancaire, vous remarquez que le montant prélevé est plus élevé qu’il n’aurait dû l’être. Pas de beaucoup, mais quand même…. C’est quelque chose qui pourrait être clarifié, mais cela prend du temps. Si le montant n’est pas trop élevé, il se peut que vous ne vous en souciiez pas.
Selon les chercheurs en sécurité, c’est quelque chose qui pourrait se produire, du moins lorsque l’établissement où vous faites vos courses ou allez manger dispose d’un de ces terminaux de paiement pratiques qui sont connectés à un smartphone ou à une tablette.
Systèmes de point de vente mobile bon marché, sécurité bon marché
Ils sont petits, ils sont peu coûteux, et c’est ce qui les rend parfaits pour les petites et nouvelles entreprises et restaurants, les camions-cantines, les étals de marché et les pop-ups : des systèmes de point de vente mobile bon marché. Malheureusement, il semble qu’ils sont également criblés de vulnérabilités qui pourraient permettre aux pirates informatiques de voler des informations sur les cartes de crédit et/ou de modifier le montant de ce que vous payez.
Les chercheurs de Positive Technologies ont examiné sept lecteurs dont le prix d’achat est inférieur à 50 $ et dont certains proviennent même d’entreprises bien connues comme PayPal et Square. Les résultats ne sont pas très prometteurs. Cinq appareils comportent des failles de sécurité qui permettraient aux cybercriminels d’amener les clients à surpayer, tandis que deux appareils pourraient être utilisés pour lire les PIN en clair.
Dans le cas de la première vulnérabilité, les pirates ou les marchands frauduleux auraient besoin d’exploiter le Bluetooth et une forme de couplage non sécurisée utilisée par les lecteurs. Une fois la tâche accomplie, le cybercriminel peut modifier les valeurs : la facture finale sera maintenant plus élevée que le montant affiché sur le lecteur.
La deuxième vulnérabilité, qui permettrait aux pirates de voler les codes PIN, n’était présente que dans les appareils fabriqués par Miura. PayPal et Square les utilisaient apparemment, du moins jusqu’à présent. L’attaque est un peu plus compliquée puisqu’elle inclut une version de microprogramme plus ancienne que les criminels devraient, le cas échéant, installer en premier. Néanmoins, une telle attaque (y compris la rétrogradation du microprogramme et le lancement de l’attaque sur les appareils) ne prendrait que quelques minutes.
On s’attaque aux problèmes, mais que faire des anciens appareils
Alors que toutes les entreprises s’efforcent de régler les problèmes et de s’assurer que les vulnérabilités disparaîtront à l’avenir, les anciens appareils qui sont encore en service resteront vulnérables. Personne ne peut dire combien de temps ils resteront en service ni combien d’entre eux seront piratés.
