Distributeurs automatiques de billets : il exploite une faille de sécurité absurde pour retirer 1 million d’euros

Maj. le 8 février 2019 à 12 h 22 min

Les distributeurs automatiques de billets peuvent être sujets à des failles de sécurité, un programmeur chinois en a exploité une pas loin d’être ridicule pour retirer environ 1 million d’euros de DAB du réseau Huaxia Bank. Il a exploité la vulnérabilité pendant plus d’un an, effectuant plus d’un millier de retraits sur la période. 

distributeurs billets

Qin Qisheng, un programmeur chinois de 43 ans, a réussi à retirer plus de 7 millions de yuans (quasiment 1 millions d’euros) de distributeurs automatiques de billets de la banque Huaxia Bank, pour laquelle il travaillait. Et comme le rapporte Daily Economic News, il n’a pas eu besoin de forcer son talent : il lui a suffit d’exploiter une faille de sécurité béante dans le système qu’on peut qualifier d’un peu ridicule.

Une faille de sécurité du système de distributeurs automatiques de billets

Apparemment, une vulnérabilité empêchait la banque d’enregistrer correctement des transactions réalisées autour de minuit. Qin Qisheng a réussi à retirer des sommes d’argent à de multiples reprises sans que ces montants ne soient retirés de son compte bancaire. Normalement, le système devait dans ce cas annuler la transaction et afficher un message d’avertissement à l’utilisateur, lui expliquant que la transaction avait échoué. Mais le programmeur a inséré des scripts dans le système supprimant cette étape et lui permettant d’accéder à l’argent.

Lire aussi : Des pirates transforment les distributeurs de billets français en machines à sous

De novembre 2016 à janvier 2018, Qin Qisheng a effectué un total de 1358 retraits de cette manière. Mais la banque a fini par identifier le code malicieux qu’il avait inséré et l’a dénoncé aux autorités. Une fois qu’il a rendu tout l’argent ainsi volé, la banque a décidé de retirer sa plainte, certainement pour que cette affaire ne s’ébruite pas et ruine sa réputation. Elle a même défendu son ancien employé, arguant que celui-ci testait en fait la sécurité de la banque.

Sauf que la justice chinoise en a décidé autrement et a continué les procédures, estimant qu’il aurait utilisé un compte test de la banque et non son compte personnel dans ce cas. Surtout qu’il aurait investi une partie de l’argent récupéré sur les marchés. Après avoir perdu son procès en appel, il a été condamné à 10 ans et demi de prison.

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Gare au SMS qui vide votre compte bancaire !

Un SMS frauduleux envoyé par des pirates peut vider votre compte bancaire. Une cliente en a fait les frais en voyant son compte débité de la somme de 6 000 euros. Cette opération, elle affirme ne l’avoir jamais faite. Le…

Voici le top 10 des pires mots de passe

Le top 10 des mots de passe les plus vulnérables au piratage a été dressé par une étude britannique. Pour mettre sur pied cette liste, le National cyber security centre (NCSC) s’est intéressé aux 100 000 mots de passe les plus…

Internet Explorer : Microsoft refuse de corriger une faille de sécurité critique

Internet Explorer est victime d’une nouvelle faille de sécurité critique, rapporte un chercheur en cybersécurité. Malgré les risques encourus par les utilisateurs, Microsoft refuse de proposer un correctif dans les plus brefs délais. Pour forcer la main de la firme, le chercheur a révélé l’existence de…

Téléchargez GHIDRA et prenez vous pour un espion de la NSA

Le logiciel GHIDRA utilisé par la NSA pour repérer et contrer des programmes malveillants est désormais disponible gratuitement pour tous. Open-source, il peut même être amélioré par la communauté.  Comme promis, la National Security Agency (NSA) des États-Unis a rendu…