Distributeurs de billets : une semaine catastrophique (episode 2)
Pas crypté du tout, le code PIN des cartes de crédit et autres données théoriquement confidentielles transmis par les guichets automatiques de la région de Manchester (G.B.). Un article du « Reg » nous apprend comment un technobraqueur a utilisé un baladeur MP3 pour récupérer au vol les informations transmises par certains distributeurs de billets. Il s'agit de ces distributeurs non maçonnés, que l'on rencontre généralement dans les supermarchés, hall de cinémas, stations service et autres commerces. L'article du Register ne détaille pas comment le lecteur a été utilisé, mais on peu supputer soit un enregistrement direct par capteur de l'ensemble des transactions modem -ce qui relève déjà d'une belle performance pour qui a déjà pratiqué le dump en ligne- soit d'un stockage d'informations tonales (DTMF) lorsque le code pin de la carte est entré sur le clavier de l'appareil. Dans un cas comme dans l'autre, les données transmises par ces appareils sont manifestement transmises en clair. Alors que les banques françaises s'enorgueillissent de détenir une puissance de traitement informatique supérieure à celle du CNRS, dans le but avoué de calculer les risques financier, il serait peut-être souhaitable que quelques Mips soient saupoudrés sur un budget « chiffrement », tant dans le cadre des données stockées que dans celui des informations transmises par les terminaux décentralisés. Cette affaire survient quelques semaines à peine après le vol de Virginia Beach, perpétré par un hacker ayant utilisé le « mot de passe maitre » d'un autre modèle de distributeur de billet « mobile ».
