Il y a la théorie et la pratique, la science du hacker-conférencier-spécialiste qui s’adresse à un petit cénacle de savants, et il y a le lumpenproletariat de l’exploit, le tâcheron de la cyber-escroquerie qui ne s’intéresse qu’aux « low hanging fruits ». Deux optiques qui souvent s’opposent, mais qui parfois se rejoignent avec une précision chirurgicale. C’est le cette semaine des appareils de lecture de carte bancaire dotées de puces.
Côté théorique, cette analyse signée Inverse Path/Aperture labs, notamment cosignée par Adam Laurie, le pourfendeur pythonisé des RFID et des centres de calcul hébergés dans des bunkers antiatomiques. De nombreuses carences frappent les cartes de crédit Visa/Mastercard/Europay. A commencer par un déploiement encore loin d’être universel, par des procédures de repli utilisant encore trop souvent la piste magnétique de la carte, depuis longtemps réputée peu fiable…
Viennent ensuite les hack matériels, continue l’étude en question. Comme d’habitude dès qu’il s’agit d’une application « technologique », les promoteurs de la norme ou du procédé clament à qui veut bien l’entendre que le « reverse » de leur technique est d’une complexité digne de l’aéronautique. Hélas, les escrocs ne tentent jamais de briser les mécanismes de protection. Ils les contournent ou les compromettent par une attaque du milieu. C’est le rôle du skimmer, de la façade accolée sur un distributeur de billet, qui photographie le code pin au moment où il est entré, et qui enregistre au passage les données de la piste magnétique. Tout çà relève plus du bricolage que de la « rocket science ».
Puis les pirates du DAB évoluent, s’adaptent. On trouve désormais des skimmers qui intègrent un clavier à membrane, lequel évide désormais toute erreur de lecture du code pin. Brian Krebs a longtemps écrit sur ce sujet et probablement dressé la liste la plus complète des traficotages possibles sur un distributeur de billets
Le dernier cri en matière de skimming, c’est le truandage des TPV, ou Terminaux Point de Vente (POS en anglais).
Il y a la technique de la rue, celle réellement utilisée par les truands, et (encore) décrite par Krebs. Le hack consiste, tout comme pour les skimmers de DAB, à ajouter un clavier-membrane intermédiaire et un peu d’électronique pour récupérer les données du lecteur de carte d’origine, stocker les informations et les transmettre via un lien Bluetooth au propriétaire du TPV trojanisé. Un tel appareil est vendu, nous apprend Krebs, entre 2000 et 3000 dollars selon la quantité.
L’équipe Inverse Path/Aperture labs, quant à elle, procède d’une manière toute aussi subtile, grâce à une carte interstitielle qui se glisse entre les contacts du lecteur CP8 et la carte elle-même. Un circuit imprimé de 2 ou 3 dixièmes d’épaisseur, voir un CI souple, peut faire l’affaire. Le tout est alimenté par les piles du TPV lui-même. Une nouvelle façon de concevoir l’attaque « man in the middle » et une astuce électronique vieille comme le monde. Dans tous les cas de figure, ce n’est pas le système de chiffrement ou le niveau de protection du firmware des TPV qui est compromis, c’est l’accès physique au canal d’échange de données entre le TPV et la carte d’une part, et entre le client et le TPV d’autre part.
On pourrait également associer ces deux informations avec un dernier fait-divers, celui relatant l’arrestation d’un certain Rodney Reed Caverly qui, un mois durant, à répandu un « virus sur-payeur » dans plusieurs distributeurs de billets automatiques. Cet informaticien employé par la Bank of America a ainsi pu soutirer un peu moins de 300 000 dollars. Il est condamné, outre une peine de 27 mois de détention, à rembourser les sommes détournées, augmentées de 134 000 dollars, coût estimé par Bank of America pour désinfecter ses systèmes. 134 000 dollars pour nettoyer une petite dizaine d’automates, les salaires de BoA mériteraient peut-être eux aussi un audit de sécurité.