in

Un lecteur de paiement mobile piraté en 10min !

À l’occasion du Black Hat 2015, qui s’est tenu à Las Vegas, aux États-Unis, des chercheurs ont mis en évidence la faiblesse de terminaux de paiement mobile, utilisés aux États-Unis en piratant l’un d’entre eux en…10 minutes !

C’était le 6 août dernier, deux chercheurs indépendants, diplômés de l’université de Boston ont réussi à hacker très rapidement le terminal de paiement mobile de Square. La société, offre une alternative aux petites entreprises ne possédant pas forcément les moyens de se procurer un terminal de paiement classique, dont l’abonnement se révèlerait trop coûteux pour elles. Square propose donc un genre de petit boîtier regroupant un ensemble de services, qu’il est possible de relier avec un smartphone ou une tablette.

Alexandra Meller et John Moore ont donc pris leur boîte à outils et ont joué les chercheurs-bricoleurs. Tournevis, fer à souder et câble ont été suffisants pour venir à bout de la puce de chiffrement et changer le lecteur de paiement mobile en « espion », capable de récolter toutes les données de cartes bancaires qui sont passées dans le lecteur. Tout ceci pourrait aller plus loin selon John Moore, puisqu’une personne mal intentionnée, pourrait tout à fait être à même de réaliser une « attaque par playback », qui concrètement, se caractérise par le fait de facturer de faux achats après une transaction légale, aux moyens une application.

20150807-102651-g1

Square n’est néanmoins pas le seul à posséder ce type de faiblesse, d’autres sociétés proposant ce genre de services pourraient être également hackées. Alexandra Meller et John Moore ont choisi de se concentrer sur Square, qui devient de plus en plus présent aux États-Unis. Aux yeux de la société, les fautives seraient les cartes de crédit continuant de conserver des données bancaires sur les bandes magnétiques, dont la technologie serait obsolète. C’est en tout cas ce que Square a déclaré à l’AFP. La société a cependant assuré avoir de quoi prévenir les comportements malveillants sur les lecteurs endommagés.

Source

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.