Un ingénieur informatique nous explique comment pirater facilement les distributeurs automatiques de billets

L’interpellation la semaine dernière d’un « hacker » qui avait réussit à retirer 21 000 euros en piratant un distributeur met en évidence les dysfonctionnements logiciels qui affectent ce type d’automates.

Dans le monde de l’informatique, on appelle cela les  « Easter Egg » ou « Ghost Code » : des petites séquences de code logiciel « fantôme » cachées dans  des lignes de programmes et qui sommeillent discrètement  – en attendant une suite d’instructions précises de la part d’un utilisateur – pour se réveiller et réaliser une action précise prédéfinie.

Les logiciels Microsoft regorgent de « Ghost Code » inoffensifs. Il suffit par exemple d’ouvrir un document vierge sous Word et de taper  « =rand(200,99) » puis appuyer sur Entrée, pour voir un message « surprise » apparaître à l’écran.

Dans notre vie quotidienne, la séquence de « Ghost-Code » la plus sollicitée est celle qui équipe nos téléphones portables.

En effet, il suffit juste de taper l’instruction *#06# sur le clavier de son téléphone pour réveiller une séquence logicielle  qui stoppe toute activité en cours et affiche, sur un écran noir, le code  IMEI de son téléphone.

Vous pouvez essayer, c’est absolument sans risque (ndlr : L’IMEI est un numéro permettant d’identifier de manière unique un appareil mobile).

Un ingénieur informatique nous révèle qu’il y a infiniment plus de « Ghost Code » dans les appareils technologiques de notre quotidien que l’on puisse imaginer.

Et justement, ce qui inquiète aujourd’hui au plus au point les banques, c’est que le Centre de Protection contre les Fraudes Bancaires (CPFB) a découvert que plusieurs séquences de « Ghost-Code » malicieuses étaient cachées dans le logiciel qui équipe la quasi-intégralité des distributeurs de billets du territoire français.

Pour réveiller une de ces séquences fantômes qui sommeille dans le logiciel, il suffit juste  de taper au clavier du distributeur –  sans même avoir introduit sa carte bancaire – un code unique composée de 15 chiffres. Tout comme la séquence *#06# des téléphones portables , le distributeur de billets ne réagira que si le bon nombre est reconnu.

Et à tout ceux qui tenteront de taper au hasard une suite de 15 chiffres, l’auteur de cet article rappelle qu’il existe 1 000 000 milliards de possibilités. Autant dire que vous avez plus de chance de trouver un sportif de haut niveau  parmi les sénateurs  que  la bonne combinaison.

Le plus intéressant reste évidemment ce qu’il se passe si la bonne combinaison est tapée au clavier. Et là,  si c’est le cas, soudainement  l’écran d’accueil devient noir avec un affichage MSDOS indiquant « Montant souhaité »

Alors, le code malicieux n’attend plus que l’utilisateur tape une somme en  Euros pour lui délivrer le montant souhaité, et ceci sans aucune limite.

On le comprends, ce « bug informatique » a de quoi faire trembler toutes les banques lorsqu’on sait qu’un distributeur de billet peut emmagasiner dans sa caisse jusqu’à 100 000 euros.

Le CPFB soupçonne fortement des  programmateurs chevronnés issus de différents groupes bancaires à la source de cette contamination du logiciel par ces séquences fantômes .

Sans doute  voulaient-ils arrondir agréablement leurs fins de mois ou tenter de faire « chanter » leur hiérarchie ?

Nul le sait mais cette affaire n’aurait jamais éclaté au grand jour si le code de réveil à 15 chiffres de ce « Ghost Code » malicieux n’avait pas commencé à fuiter sur le réseau internet parallèle « Tor ».

A l’heure où nous écrivons cet article, plusieurs dizaines de distributeurs ont été savamment et pacifiquement « pillés ».

C’est donc un mouvement de panique qui s’empare des dirigeants des grandes banques installées sur notre territoire.

Comment stopper cette vague de pillage qui s’annonce incontrôlable ?

La solution la plus radicale serait de mettre hors-service l’intégralité des distributeurs du pays en attendant de modifier leurs logiciels internes mais le ministère des finances y est farouchement opposé en évoquant que cela paralyserait l’activité économique du pays.

Une autre solution serait d’effectuer une mis à jour corrective à distance du logiciel depuis le centre du CPFB mais comble de malchance, pour des questions de sécurité, le logiciel des distributeurs ne peut être modifié que sur place (des pirates russes avaient réussi à modifier le code informatique par liaison filaire depuis l’étranger et ainsi autoriser de fausses cartes bancaires à effectuer des prélèvements).

Il ne reste alors que la solution d’une intervention humaine mais vu le nombre de distributeurs en service sur le territoire, ll faudrait la présence simultanée de 2500 techniciens pendant 2 semaines jour et nuit pour mettre à jour tous les logiciels des distributeurs. Solution évidemment inenvisageable.

Contre toute attente, et voulant combattre le mal par le mal, les banques ont donc décidé de rendre public  les 15 chiffres permettant de réveiller la fonction malicieuse des distributeurs.

Comptant sur le civisme de ses usagers,  les banques invitent donc tous les français à se rendre le plus rapidement au distributeur le plus proche de leur domicile et taper la séquence à 15 chiffres  suivante sur le clavier du distributeur :

542 659 645 036 192

puis demander le retrait d’argent maximal (correspondant à la totalité de la caisse) pour le remettre ensuite au guichet le plus proche afin que l’argent soit mise en sécurité dans un coffre.

En remerciement de ce geste citoyen, un abonnement gratuit de 3 mois sera offert sur l’assurance facultative adossée à la souscription d’une carte bancaire Visa Premier Gold à débit immédiat.

Crédit photo : Science Info