Des terminaux de paiement electronique compromis lors de leur fabrication

Partager

Que ce soit pour régler un restaurant, de l'essence ou de menus achats, le TPE (Terminal de Paiement Electronique) fait partie de notre vie de tous les jours : Vous insérez votre carte bancaire, saisissez votre code PIN et voilà !
Il est d'usage de considérer ces équipements comme sécurisés et donc "de confiance" : C'était le cas, au jusqu'à récemment du moins.

Selon les informations disponibles sur le site du TeleGraph, un certain nombre de TPE auraient été compromis de façon à collecter automatiquement les informations relatives aux cartes bancaires insérées et les codes PIN correspondants... Les équipements auraient été modifiés en amont au niveau des chaines de fabrication chinoises pour ensuite être livrés de façon tout à fait normale. Les experts s'accordent sur le fait que c'est la première fois qu'une attaque de ce niveau de complexité est orchestrée par le crime organisé.

Les informations bancaires collectées étaient ensuite automatiquement transmises vers des personnes localisées au Pakistan, pour ensuite être utilisées pour effectuer des achats sur Internet et autres transactions : Plusieurs dizaines de million de livres anglaises auraient été ainsi détournées.

Le niveau de perfectionnement des modifications effectuées et tel que le seul moyen actuellement trouvé pour détecter un TPE "modifié" est de le peser : Si l'équipement est plus lourd de 110 grammes environ c'est qu'il s'agit d'une version compromise. Trop top : Une balance de cuisine devient un IDS en puissance ! :-)

A priori, les TPE présents sur le territoire français ne serait pas concernés : seuls l'Irelande, la Grande Bretagne, le Danemark, les Pays-Bas et la Belgique feraient partie des pays impactés.

Visiblement, le crime organisé monte en gamme : Après les guichets de retrait bancaire (GAB) modifiés nous avons les TPE "backdoorés". Une nouvelle bonne raison de vérifier régulièrement ses relevés bancaires non ?

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la prise en compte de la sécurité dans le cycle de vie des produits et services. Je suis passionné par la sécurité informatique et prends énormément de plaisir à partager cette passion via des vidéos, présentations et articles. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens. Vous avez des questions, des idées, des propositions : vous savez où me trouver ! :-)