Des failles découvertes dans des terminaux de paiement

Des chercheurs des laboratoires allemands Security Research Labs (SRLabs) ont trouvé, selon leurs propres dires, des failles dans certains terminaux de paiement électronique de l’entreprise américaine Verifone Systems. Il s’agit de l’Artema Hybrid, un terminal qui est également utilisé par des commerçants dans notre pays. SRLabs a découvert des failles dans le firmware des appareils. Par le biais d’un “buffer overflow”, des pirates pourraient exécuter leur propre code dans les appareils. Ils pourraient dérober de cette manière les informations figurant sur la piste magnétique et même le code secret. Ainsi, ils seraient en mesure de réaliser une copie exacte de la carte, avant de s’en servir.

Des chercheurs des laboratoires allemands Security Research Labs (SRLabs) ont trouvé, selon leurs propres dires, des failles dans certains terminaux de paiement électronique de l’entreprise américaine Verifone Systems. Il s’agit de l’Artema Hybrid, un terminal qui est également utilisé par des commerçants dans notre pays.

SRLabs a découvert des failles dans le firmware des appareils. Par le biais d’un “buffer overflow”, des pirates pourraient exécuter leur propre code dans les appareils. Ils pourraient dérober de cette manière les informations figurant sur la piste magnétique et même le code secret. Ainsi, ils seraient en mesure de réaliser une copie exacte de la carte, avant de s’en servir. Il leur serait également possible de générer de fausses transactions avec l’appareil ou modifier des transactions. Le piratage pourrait s’opérer tant via le réseau (par exemple un PC tournant sur le même réseau) que via le port sériel ou jtag de l’appareil.

Verifone aurait été informée des vulnérabilités. L’entreprise a indiqué à PCWorld qu’elle n’avait pas encore pu reproduire l’attaque. Verifone envisagerait néanmoins de fournir de nouveaux firmware. L’association de banques allemandes Deutsche Kreditwirtschaft a quant à elle fait savoir qu’elle prenait l’affaire au sérieux. L’organisation a cependant précisé qu’il s’agissait surtout de possibilités théoriques.

Chez nous aussi?

L’Artema Hybrid est en fait un appareil qui provient de Thales. Hypercom a en effet racheté le pôle terminal de Thales en 2008. Et Verifone a racheté Hypercom voici un an. C’est l’un des terminaux de paiement les plus utilisés en Allemagne. L’Artema Hybrid est également présent dans notre pays. Il est distribué par B+S, Keyware, BTG Europe et Easycash.

Les commerçants belges qui disposent d’un Artema Hybrid – et par conséquent leurs clients aussi – doivent-ils craindre des piratages? C’est peu probable, pour Francis Ceuterick d’EPCI/Acquiris, l’institut de certification des terminaux de paiement. “L’Artema Hybrid belge dispose d’un logiciel C-TAP spécifique (l’application permettant de traiter la transaction par carte, ndlr), qui a été vérifié par EPCI. Ce logiciel, développé par Thales Paris, n’a aucun lien avec le logiciel allemand développé par Thales Allemagne suivant le “protocole ZVT” allemand spécifique, sous la surveillance du Zentraler Kreditausschuss (ZKA). Il est donc peu probable que les mêmes failles “allemandes” se trouvent également dans le logiciel belge. Ceuterick précise qu’EPCI ne manquera pas évidemment de vérifier pour s’en assurer.

Il existe néanmoins un risque que des appareils équipés du logiciel allemand vulnérable soient utilisés en Belgique, comme l’avoue F. Ceuterick. “Hypercom a vendu l’année dernière la branche commerciale de sa filiale belge à B+S, une entreprise allemande de traitement des paiements. Et B+S commercialise depuis peu sur le marché belge également des terminaux non certifiés par EPCI/Acquiris, équipés du logiciel allemand ZVT et basés sur ce même matériel Artema Hybrid”, ajoute F. Ceuterick.