Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Les distributeurs de billets aussi ont un mot de passe par défaut

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Les distributeurs de billets aussi ont un mot de passe par défaut

Un pirate américain a utilisé le mot de passe par défaut d’un distributeur de billets aux Etats-Unis pour le reprogrammer afin qu’il délivre des coupures de plus grand valeur. On hésiterait presque à parler de crime High Tech tellement l’opération est simple : le mot de passe était indiqué dans le manuel de l’appareil, disponible sur Internet.


L’été dernier, un jeune homme s’avance à un distributeur de billets à Virginia Beach, aux Etats-Unis. Après y avoir glissé une carte, il compose une séquence de chiffres un peu plus longue que l’habituel code PIN des cartes bancaires, puis retire un peu d’argent et disparaît.

Voilà, vous venez d’assister à un crime High Tech : le distributeur a été reprogrammé grâce à un code d’administration. Il « croit » désormais que ses billets de vingt dollars sont des coupures de cinq dollars. Le pirate reviendra d’ailleurs se servir une seconde fois, tellement l’attrait d’un tel profit facile est irrésistible.

Bien entendu, le jeune homme utilise une carte de débit prépayée, courante aux Etats-Unis, et il est donc impossible de remonter jusqu’à lui via sa carte bancaire. Seule demeure, pour la postérité, la bande vidéo de sécurité dont des extraits sont repris dans un sujet de CNN .

L’appareil va rester dans cette configuration pendant une dizaine de jours et en faire profiter tous ses clients légitimes, avant que l’un d’entre eux ne se décide à prévenir l’employé de la station à essence où était installé le généreux distributeur.

L’escroc a utilisé pour réussir son forfait un mot de passe par défaut trouvé… dans le manuel de l’appareil ! Mieux encore : ce dernier était disponible sur Internet. Selon le fabriquant du distributeur, la société Tranax, le manuel conseille aussi de changer ce code avant la mise en service du distributeur. Mais il semblerait que les manuels des distributeurs de billets ne soient pas plus lus que ceux des autres outils informatiques !

Tout en exhortant à nouveau (et plus activement !) ses clients à changer ce « code de passe » par défaut, Tranax s’apprête aussi à publier un nouveau firmware qui rendrait la modification obligatoire avant la mise en service de l’appareil.

Mais le parc existant devra être modifié manuellement, et cela ne sera peut-être pas simple. Car au Etats-Unis les distributeurs de billets ne sont pas nécessairement la propriété d’une banque. N’importe qui peut en acheter, les placer quelque part et entrer dans le business de la distribution d’argent grâce à la commission qui est prélevée sur chaque transaction. Ce sont donc potentiellement des milliers d’individus qu’il faut prévenir et à qui il faudra expliquer la manipulation.

D’ici là, il risque désormais d’y avoir la queue devant les distributeurs Tranax Mini Bank 1500 !


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.