Distributeurs automatiques de billets : il exploite une faille de sécurité absurde pour retirer 1 million d’euros

Maj. le 8 février 2019 à 12 h 22 min

Les distributeurs automatiques de billets peuvent être sujets à des failles de sécurité, un programmeur chinois en a exploité une pas loin d’être ridicule pour retirer environ 1 million d’euros de DAB du réseau Huaxia Bank. Il a exploité la vulnérabilité pendant plus d’un an, effectuant plus d’un millier de retraits sur la période. 

distributeurs billets

Qin Qisheng, un programmeur chinois de 43 ans, a réussi à retirer plus de 7 millions de yuans (quasiment 1 millions d’euros) de distributeurs automatiques de billets de la banque Huaxia Bank, pour laquelle il travaillait. Et comme le rapporte Daily Economic News, il n’a pas eu besoin de forcer son talent : il lui a suffit d’exploiter une faille de sécurité béante dans le système qu’on peut qualifier d’un peu ridicule.

Une faille de sécurité du système de distributeurs automatiques de billets

Apparemment, une vulnérabilité empêchait la banque d’enregistrer correctement des transactions réalisées autour de minuit. Qin Qisheng a réussi à retirer des sommes d’argent à de multiples reprises sans que ces montants ne soient retirés de son compte bancaire. Normalement, le système devait dans ce cas annuler la transaction et afficher un message d’avertissement à l’utilisateur, lui expliquant que la transaction avait échoué. Mais le programmeur a inséré des scripts dans le système supprimant cette étape et lui permettant d’accéder à l’argent.

Lire aussi : Des pirates transforment les distributeurs de billets français en machines à sous

De novembre 2016 à janvier 2018, Qin Qisheng a effectué un total de 1358 retraits de cette manière. Mais la banque a fini par identifier le code malicieux qu’il avait inséré et l’a dénoncé aux autorités. Une fois qu’il a rendu tout l’argent ainsi volé, la banque a décidé de retirer sa plainte, certainement pour que cette affaire ne s’ébruite pas et ruine sa réputation. Elle a même défendu son ancien employé, arguant que celui-ci testait en fait la sécurité de la banque.

Sauf que la justice chinoise en a décidé autrement et a continué les procédures, estimant qu’il aurait utilisé un compte test de la banque et non son compte personnel dans ce cas. Surtout qu’il aurait investi une partie de l’argent récupéré sur les marchés. Après avoir perdu son procès en appel, il a été condamné à 10 ans et demi de prison.

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Sécurité : Huawei subirait un million de cyberattaques par jour

D’après le chef de la sécurité de Huawei, l’entreprise repousserait une quantité impressionnante d’attaques informatiques. Des attaques à travers le monde entier, et des autorités américaines qui n’y seraient pas étrangères, selon l’entreprise. Si Huawei doit faire face à l’ire…

WhatsApp : un simple GIF permet de pirater votre smartphone

Une faille découverte dans l’application WhatsApp et qui affecte les smartphones Android permet d’accéder à vos photos privées et autres données personnelles. Il suffit d’un GIF modifié pour exploiter cette vulnérabilité qui vient d’être découverte par un chercheur en sécurité….

Une attaque DDoS rapporte 2,5 millions de dollars à Wikipédia

Vendredi dernier, le site encyclopédique Wikipédia était victime d’une conséquente attaque DDoS (Distributed Denial of Service). Pour limiter les dégâts d’une telle menace, la Wikimedia Foundation vient de recevoir une jolie somme de la part d’un généreux donateur pas si…