Distributeurs automatiques de billets : il exploite une faille de sécurité absurde pour retirer 1 million d’euros

Maj. le 8 février 2019 à 12 h 22 min

Les distributeurs automatiques de billets peuvent être sujets à des failles de sécurité, un programmeur chinois en a exploité une pas loin d’être ridicule pour retirer environ 1 million d’euros de DAB du réseau Huaxia Bank. Il a exploité la vulnérabilité pendant plus d’un an, effectuant plus d’un millier de retraits sur la période. 

distributeurs billets

Qin Qisheng, un programmeur chinois de 43 ans, a réussi à retirer plus de 7 millions de yuans (quasiment 1 millions d’euros) de distributeurs automatiques de billets de la banque Huaxia Bank, pour laquelle il travaillait. Et comme le rapporte Daily Economic News, il n’a pas eu besoin de forcer son talent : il lui a suffit d’exploiter une faille de sécurité béante dans le système qu’on peut qualifier d’un peu ridicule.

Une faille de sécurité du système de distributeurs automatiques de billets

Apparemment, une vulnérabilité empêchait la banque d’enregistrer correctement des transactions réalisées autour de minuit. Qin Qisheng a réussi à retirer des sommes d’argent à de multiples reprises sans que ces montants ne soient retirés de son compte bancaire. Normalement, le système devait dans ce cas annuler la transaction et afficher un message d’avertissement à l’utilisateur, lui expliquant que la transaction avait échoué. Mais le programmeur a inséré des scripts dans le système supprimant cette étape et lui permettant d’accéder à l’argent.

Lire aussi : Des pirates transforment les distributeurs de billets français en machines à sous

De novembre 2016 à janvier 2018, Qin Qisheng a effectué un total de 1358 retraits de cette manière. Mais la banque a fini par identifier le code malicieux qu’il avait inséré et l’a dénoncé aux autorités. Une fois qu’il a rendu tout l’argent ainsi volé, la banque a décidé de retirer sa plainte, certainement pour que cette affaire ne s’ébruite pas et ruine sa réputation. Elle a même défendu son ancien employé, arguant que celui-ci testait en fait la sécurité de la banque.

Sauf que la justice chinoise en a décidé autrement et a continué les procédures, estimant qu’il aurait utilisé un compte test de la banque et non son compte personnel dans ce cas. Surtout qu’il aurait investi une partie de l’argent récupéré sur les marchés. Après avoir perdu son procès en appel, il a été condamné à 10 ans et demi de prison.

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Chrome : 85% des extensions se moquent de votre vie privée

Une étude Duo Labs autour des extensions Chrome révèle que 85% d’entre elles n’ont aucune politique en matière de vie privée – un document qui explique clairement comment vos données seront utilisées en cas de collecte. Pour en arriver à…

Attention, ce câble USB peut pirater n’importe quel ordinateur

Ce câble USB modifié permet à un attaquant de pirater n’importe quel ordinateur. Conçu par un chercheur en cybersécurité, cet accessoire peut réagir à des commandes à distance transmises par un pirate. Bientôt produit en masse, il est destiné à mettre en garde le grand public…

Pourquoi il ne faut pas mettre sa date d’anniversaire sur internet

Une date d’anniversaire peut sembler être une information publique. Les dates d’anniversaire sont pourtant utilisées dans de nombreux services du web et peuvent être mises à parti par des pirates pour accéder à des informations sensibles comme votre compte en…

Reconnaissance faciale : la liste des smartphones vraiment sécurisés

La reconnaissance faciale se démocratise sur les smartphones. Pourtant, la technologie qu’il y a derrière n’est pas toujours suffisamment sécurisée. L’association de consommateur néerlandaise Consumentenbond dresse la liste des smartphones que l’on peut duper avec une simple photo, et ceux…

Comment mieux choisir ses mots de passe

La gestion des mots de passe est une vraie galère aujourd’hui. Nous avons des dizaines de comptes, difficile de se souvenir de tous les identifiants. Sans compter qu’il faut des mots de passe sécurisés et variés. Mais alors comment bien choisir ? On vous dit tout.

La France va payer des hackers afin de renforcer sa cyberdéfense

La France veut renforcer sa cyberdéfense. La ministre des Armées Florence Parly a annoncé l’arrivée d’un programme récompensant financièrement les hackers qui trouvent des failles de sécurité dans ses systèmes. Et pousse les industriels à suivre le pas.  Afin de…