Les principaux terminaux de paiement exploités aux USA et au Royaume-Unis sont dangereux. Deux experts ont présenté la chose lors du BlackHat de Las Vegas. La grande messe du hacking et de la sécurité informatique, qui s'est tenu la semaine dernière sous le soleil du Nevada, a donné l'occasion à MWR InfoSecurity de démontrer qu'il était possible d'injecter du code dans ces lecteurs de carte bancaire. Dominguez Vega et son collègue Nils ont injecté dans un lecteur un jeu de leur conception, une course de voiture. Cette démonstration a pour but de prouver qu'il est possible de manipuler les informations transitant dans le TPE. Les vulnérabilités dans le lecteur, qui débutent par un buffet overflow, peuvent aussi être utilisées pour effectuer une transaction frauduleuse via la carte, imprimer un faux reçu, ... L'attaque à ses limites. La mémoire de la machine étant restreinte, le pirate doit réinstaller son code à chaque utilisation. Trois lecteurs VeriFone ont été exploités pour la recherche. Ils ont été acquis sur eBay.

Selon les chercheurs, la société est en train de travailler sur un patch. "Il faudra un certain temps pour que le correctif soit déployé sur tous les dispositifs" termine les Nils et Vega. Les cartes à puce et le code PIN attenant est devenu obligatoire au Royaume-Uni depuis 2006. Son déploiement sur le sol des États-Unis débutera en avril 2013. A noter que les deux "bidouilleurs" ont découvert d'autres failles dans ces lecteurs. Failles qui pourraient permettre aux pirates de cartes bancaires de se passer de skimmer, les lecteurs pirates de bande magnétique cachés dans des distributeurs de billets.

L'une des vulnérabilités passe par un service réseau Ethernet. Lors de cette démonstration, le boitier a joué de la musique et le mot de passe du terminal, le root, a été modifié. Dans le troisième cas, le terminal annonce une erreur dans paiement. Sauf que la machine a enregistré les données bancaires (numéros et mots de passe, le code pin). Il a suffi aux chercheurs d'utiliser une carte à puce modifiée pour récupérer les données. A noter que lors de leurs "hacks", Rafael et Nils ont découverts que des mots de passe étaient préenregistrés dans les boitiers.