Distributeurs de billets : Le retour de la semaine catastrophique (3)
« L'insoutenable légèreté du cassage de code PIN » est le titre d'une communication de Omer Berkman et Odelia Moshe Ostrovsky, de l'Université de Tel Aviv. Ces deux chercheurs se sont penchés sur le processus découlant de l'entrée du « code pin » lors d'un retrait auprès d'un distributeur automatique de billets. Le code secret, expliquent les deux chercheurs, est chiffré avant envoi sur le réseau et aval de la transaction par la banque concernée. Le résultat de cette opération de chiffrement donne un « EPB » (Encrypted PIN Block), qui va cheminer de routeur en commutateur, de commutateurs en machines relais... à chaque saut de puce, ce paquet est décrypté, vérifié puis rechiffré, parfois en respectant un format particulier, parfois en en utilisant un autre, compatible mais d'une toute autre génération. L'on comprend aisément que le niveau de protection garanti par le mécanisme de chiffrement n'est pas celui de la banque de l'usager, mais celui du plus mauvais équipement situé dans la chaine de transfert. Et lorsque l'on apprend que ces opérations sont le fruit d'une API vieille d'une trentaine d'année.... Les différents points de faiblesse de la chaîne sont donc analysés avec méticulosité par les deux chercheurs. Le bilan n'est pas franchement optimiste tellement certaines de ces attaques sont simples. Il est même difficilement pensable que cette lueur de vérité soit apparue aux deux seuls universitaires, ce qui « résoudrait le mystère de bien des retraits fantômes jusqu'à présent inexpliqués » (sic). En outre, rien n'interdit d'imaginer une attaque à grande échelle compromettant une énorme quantité de comptes. Cet assaut, ont calculé les auteurs, permettrait de récupérer jusqu'à 18 millions de codes PIN par heure. Sans parler du fait que la disparité des formats des EPB sont autant de vulnérabilités potentielles dans le mécanisme de protection. Cette fois, aucun banquier Suisse ou Français ne pourra nier l'existence d'un danger en invoquant l'exception nationale. Car, en admettant même que l'infrastructure drainant les distributeurs soit irréprochable sur l'axe Lille Marseille, les clients situés à l'étranger et souhaitant prélever du liquide seraient tout de même exposés aux failles des réseaux extraterritoriaux. Est-il nécessaire de préciser que les principaux groupements bancaires impliqués dans les circuits de la monnaie plastique ont été prévenu, mais devant la réaction apathique des professionnels de la finance, Omer Berkman et Odelia Moshe Ostrovsky ont décidé de lancer leur cri d'alarme. A lire donc, 19 pages peu rassurantes sur l'art du hacking de cartes de crédit.