Une caméra thermique pour récupérer le code PIN des clients
- Lors du USENIX Security Symposium qui s’est tenu du 8 au 12 août 2011, des chercheurs de l’université de Californie ont présenté leur étude « Heat of the Moment : Characterizing the Efficacy of Thermal Camera-Based Attacks » et ont illustré la possible utilisation d’une caméra thermique pour la récupération de codes PIN aux DAB.
- Cette technique se base sur les données collectées par une caméra infrarouge après la frappe du code par l’utilisateur ; cette caméra repère où ce dernier a posé ses doigts sur le clavier.
- Des tests ont été réalisés avec l’aide de 21 volontaires, chargés de saisir 27 combinaisons sélectionnées aléatoirement sur des claviers en plastique et en métal brossé. La pression de frappe et la température corporelle des participants à l’étude n’affectent que très légèrement les résultats.
- Il en résulte que les claviers en métal résistent convenablement à cette attaque alors que les claviers en plastique permettent non seulement la récupération des chiffres composant le PIN mais aussi l’ordre de leur saisie (80 % de réussite, 10 secondes après la frappe et 60 % après 45 secondes).
- Aux techniques courantes de récupération (skimming, regard indiscret sur le code lors de sa saisie, caméras traditionnelles, etc.) s’ajoute un nouveau recours pour les fraudeurs.
- Les chercheurs préconisent donc l’installation exclusive de claviers métalliques, plus sûrs, mais également une vigilance accrue de la part des porteurs souvent peu attentifs (angle des caméras, altérations de l’apparence du DAB, etc.).
- Autre exemple d’effort en matière de sécurité des transactions, en Australie, Alaric International, fournisseur de solutions de lutte contre la fraude, annonce un accord avec Cuscal, spécialiste des transactions BtoB et fournisseur de services financiers, pour l’adoption par plus de 150 établissements financiers des solutions Alaric de traitement des paiements et de détection de fraude, respectivement, Authentic et Fractals. Authentic sera notamment utilisé pour intégrer les DAB Cuscal à l’un des plus grands réseaux nationaux australiens, RediATM (3 800 machines). Fractals sert pour sa part à détecter et proscrire en temps réel toutes tentatives de fraude.