Bonjour à tous,
Qui n'a jamais rêvé de gagner le jackpot aux machines à sous après avoir regardé Ocean 13 ? Un chercheur en sécurité informatique a trouvé le moyen de le faire avec certains distributeurs de billets ! Je vous explique comment dans la News du jour...
🗞 La News : Vider un distributeur avec téléphone portable : c'est possible !
Le chercheur en sécurité informatique de la société IOactive, Josep Rodriguez, annonce avoir trouvé une faille de sécurité dans les nouveaux distributeurs de billets. Il serait possible d'extraire la totalité des billets disponibles avec un simple smartphone.
À l'origine de cette faille : les supports NFC sur les nouveaux distributeurs de billets (il s'agit de la technologie permettant de réaliser des paiements sans contact). Ces distributeurs devraient bientôt être disponibles en France.
Josep Rodriguez affirme qu'on "peut vider le distributeur seulement en tapotant sur son smartphone". Voici la faille : les supports NFC ont une capacité de mémoire instantanée limitée, mais ne sont pas capables de mesurer la taille du message envoyé. Il suffit donc qu'une application sur le téléphone Android du hacker envoie une grande quantité de message trop lourds pour faire dysfonctionner le distributeur. Au même moment, le pirate envoie un logiciel malveillant dans le support. Ces deux étapes lui permettent de gérer les actions du distributeur depuis son téléphone.
Le chercheur explique que le même processus peut être réalisé sur un terminal de paiement. Il peut modifier le montant des transactions sans que le vendeur ne s'en rende compte : alors que le terminal de paiement affiche 50€, la transaction pourrait être de 1€ seulement.
Josep Rodriguez expliquera bientôt les résultats et techniques de ses recherches dans un webinaire.
🔮 Le Tips : Protéger vos paiements en ligne
Nous ne sommes pas tous capables de vider les distributeurs de billets (on n'a aussi pas tous envie de finir en prison non plus...). Alors autant ne pas perdre bêtement de l'argent. Voici quelques vérifications à faire lorsque vous faites des achats en ligne.
🎯 Objectif : Réduire les risques de fraude et s'assurer un remboursement en cas de fraude.
❓ Pourquoi : Depuis le début de la crise du COVID 19, les paiements en lignes sont devenus la norme. Il reste que ces paiements sont 17x plus risqués que des paiements classiques.
🔑 Comment : il existe plusieurs signaux d'alerte pour repérer qu'un site Internet n'est pas fiable :
↘️ Les prix sont souvent beaucoup plus bas que la concurrence
⚖️ Il n'y a pas de Conditions Générales de Vente ou de Mentions Légales (elles se trouvent généralement en bas des pages)
🌐 Les pages du site n'ont pas le certificat SSL (il vous suffit de vérifier que l'URL des pages commence avec https:// et non http://)
📩 L'adresse mail de contact du site ne contient pas le nom de domaine du site (l'adresse sera donc du type @gmail.com ou @yahoo.com au lieu de contact@maboutique.com)
📚 La Ressource : Une vidéo de Konbini Techno
Il ne suffit que de 2 secondes pour voler les informations d'une carte bancaire grâce au "sans contact". Quels sont les risques de cette technologie ? Et comment s'en protéger ?
Valentin Squirelo fait le point pour Konbini Techno dans cette vidéo.
👉 https://www.youtube.com/watch?v=HKgKM55tQDw
N’hésitez et à me faire part de vos remarques, je serai ravi de pouvoir en discuter avec vous et d'en faire profiter la communauté des Cyriusers !
A la semaine prochaine,
Louis de l’équipe Cyrius