Parfois, les spécialistes sécurité prennent des vacances, harassés qu’ils sont entre deux CanSec ou Defcon, de Miami Beach à Vegas, en passant par les Philippines ou Shanghai.
Parfois, ces mêmes spécialistes ont besoin de liquide dans la monnaie du pays, et utilisent pour ce faire les services des distributeurs automatiques de billet, ou DAB (ATM dans la langue de Franck Abagnale).
Parfois, il leur arrive de découvrir des skimmers sur ces DAB. C’est le cas de Matt South qui est parvenu à effectuer le « reverse » matériel d’un système d’enregistrement de code PIN (https://trustfoundry.net/reverse-engineering-a-discovered-atm-skimmer/). Techniquement parlant, le hack mérite à peine le qualificatif de bidouille, le cœur de l’équipement se trouvant sans grande difficulté sur Ebay, vendu pour une quarantaine d’euros (http://www.ebay.com/sch/i.html?_from=R40&_trksid=p2050601.m570.l1313.TR12.TRC2.A0.H0.Xspy+camera.TRS0&_nkw=spy+camera&_sacat=0). Par quel moyen technique les voleurs d’identité bancaire parvenaient-ils à récupérer les données propres à la carte de crédit ? South ne le saura jamais. Un coupleur sur la sortie Ethernet ou téléphone de l’appareil ? Un hack direct sur le réseau sur lequel est connecté le DAB ? Il est des moments où il ne fait pas bon traîner dans les terres des mafias indonésiennes.
Cette histoire n’est pas sans rappeler d’autres séjours touristiques, celui de Brian Krebs fin août dernier par exemple. L’ancien journaliste du Washington Post, en villégiature à Cancun, inventoriait une foultitude de distributeurs améliorés avec un transmetteur Bluetooth plutôt indiscret (http://krebsonsecurity.com/2015/09/tracking-a-bluetooth-skimmer-gang-in-mexico/), et dévoilait une carambouille orchestrée par d’obscures sociétés privées possédant un parc de distributeurs (http://krebsonsecurity.com/2015/09/whos-behind-bluetooth-skimming-in-mexico/).
L’on pourrait ainsi dresser une sorte de guide des bonnes pratiques du touriste en mal de liquide :
– Assener systématiquement quelques claques énergiques sur les différents éléments externes du distributeur, histoire de vérifier toute absence de pièces rapportées, collées ou substituées
– Effectuer un balayage large bande sur la totalité des bandes ISM (de 6 MHz à 244 GHz, en surveillant tout particulièrement les segments 430 MHz, 2,4 GHz et 5,8 GHz. Les esprits chafouins qui feraient remarquer que l’on peut difficilement se promener avec un analyseur Anritsu lorsque l’on se promène en short et chemisette d’été ne devront pas se plaindre en cas de vol d’identité
– Effectuer un audit sur les antécédents et statuts de l’entreprise possédant le parc de distributeurs. La base Edgar de la SEC, voire une recherche par l’intermédiaire du réseau quasi-public qu’est le système interbancaire Swift peut aider.
– Accessoirement masquer la main qui tapote le code PIN au moment de la saisie
Il va sans dire que de telles précautions sont totalement inutiles sur l’ensemble du territoire Français …