Le lecteur de la société de paiements par téléphone Square peut servir à récupérer des données ou même facturer de faux achats. Une démonstration en a été faite lors de la Black Hat.

Des spécialistes en sécurité informatique ont fait une démonstration jeudi de la facilité avec laquelle le lecteur de cartes bancaires de la société de paiements par smartphone Square, très populaire aux Etats-Unis, pouvait servir à des cyber-criminels.

« Nous avons converti un lecteur Square en récupérateur (de données) de cartes bancaires en moins de 10 minutes », a affirmé Alexandra Mellen, chercheuse indépendante et auto-désignée pirate, lors d'une présentation à la conférence Black Hat sur la sécurité informatique à Las Vegas, dans le Nevada (ouest). D'après elle, l'opération nécessite des outils simples comme un tournevis, du câble et un fer à souder, et la tâche la plus longue consiste à ouvrir avec précaution le lecteur, que Square fournit gratuitement aux commerçants souhaitant utiliser son application de paiements.

Il suffit ensuite, selon elle, de souder le câble entre deux points à l'intérieur du lecteur pour contourner une puce de cryptage. Après cela, les informations des cartes passées dans le lecteur peuvent être récupérées, pour être utilisées frauduleusement ou vendues au marché noir.

D'autres fournisseurs de services mobiles pourraient être concernés

Un autre chercheur indépendant, John Moore, récemment diplômé de l'université et qui s'apprête à débuter un emploi chez Google, a lui, mis en lumière une application mobile permettant une « attaque par playback » : les commerçants peuvent facturer de faux achats dans les semaines ou les mois suivant une transaction légitime. « Nous suspectons que les vulnérabilités que nous avons trouvé chez Square puissent facilement s'appliquer à d'autres fournisseurs de services mobiles pour les commerçants », a-t-il commenté.

Interrogé par l'AFP, Square a renvoyé la faute sur les cartes de crédit en circulation aux Etats-Unis, qui continuent de stocker les données sur leurs bandes magnétiques contrairement à la plupart des pays européens qui ont adopté la carte à puce. « On ne devrait pas être surpris qu'un système ayant fondamentalement la même technologie que les cassettes audio soit vulnérable », a commenté un porte-parole de la société, fondée par le co-créateur de Twitter Jack Dorsey.

« C'est pourquoi les principales sociétés de cartes de crédit, les prêteurs et les entreprises adoptent maintenant de nouvelles technologies de paiement plus sécurisées et authentifiées », a-t-il ajouté. Square assure toutefois avoir « des procédures en place pour prévenir l'usage malfaisant de lecteurs (de cartes) endommagés », et empêcher leur utilisation.