Quand des étudiants transforment le lecteur Square en voleur de données bancaires
Par Arthur de la Brosse - Publié le
Motherboard, qui révèle l'exploit, précise que la manipulation peut être réalisée en moins de 10 minutes, et consiste en une modification matérielle de l'accessoire, laquelle ne laisse aucune trace visible à l'extérieur du module.
Ce changement empêche ensuite le lecteur de fonctionner correctement avec l'application de Square, mais permet en contrepartie à des pirates d'enregistrer toutes les données bancaires stockées sur la carte. Le constructeur, mis au courant du problème, explique ne pas se sentir concerné par celui-ci étant donné que la méthode
bloque le bon fonctionnement de son application, une réponse qui a surpris et
fortement frustréles auteurs du hack.
Ces derniers dénoncent en effet le fait que même si l'application est bloquée suite à cette modification, un vendeur malhonnête a toujours la possibilité de voler ses clients en insérant leur carte bancaire dans le lecteur, puis en prétendant qu'un problème technique empêche la transaction d'être validée.
Par ailleurs, les trois étudiants ont également mis au point une application permettant d'enregistrer directement toutes les informations sensibles d'une carte sur un smartphone, sans avoir à modifier physiquement le lecteur.
Je peux prendre ce signal et le convertir en utilisant un décodeur disponible gratuitement en ligne, et ensuite j'ai accès aux informations de votre carte de crédit, explique Mellen, l'un des auteurs de l'exploit.
Enfin, si plusieurs failles similaires avaient déjà été découvertes l'année dernière sur le lecteur de Square, celles-ci avaient été corrigées au moment de la sortie du nouveau terminal, mais les problèmes mis en lumière aujourd'hui ont bien été décelés sur le dernier modèle du lecteur de cartes.