Passer au contenu

Des hackers pouvaient accéder en douce à 140 000 terminaux de paiement

Des administrateurs d’un réseau de terminaux de paiements se sont fait voler leurs mots de passe. Et ils n’avaient pas activé de second facteur d’authentification. Oups.

Ce n’est pas parce qu’on gère des dizaines de milliers de terminaux de paiement que l’on est forcément au taquet sur la sécurité informatique. Exemple : la société Wiseasy. Assez peu connue du grand public, cette start-up basée à Singapour propose une solution de terminal de paiement pour systèmes Android et destinée aux restaurants, hôtels, magasins, etc. Tous les points de paiements sont reliés au « Wisecloud », une architecture client-serveur qui permet de facilement les gérer à distance. Un peu trop d’ailleurs.

Accès à distance par le cloud

D’après les chercheurs en sécurité de Buguard, certains employés de Wiseasy se sont fait dérober leur mot de passe par l’intermédiaire d’un logiciel malveillant. Parmi eux figurait notamment un compte administrateur. Et comme aucun de ces comptes n’était protégé par un second facteur d’authentification, les pirates pouvaient accéder à distance à plus de 140 000 terminaux de paiement, principalement dans la région Asie-Pacifique.

Selon Buguard, cet accès permettait d’installer ou de désinstaller à distance des applications sur le terminal de paiement. Il était également possible de récupérer la liste des utilisateurs de chaque terminal – avec nom, adresse et numéro de téléphone – ainsi que le mot de passe du réseau Wi-Fi sur lequel il était connecté.

Faible réactivité

Contactée en juillet par les chercheurs en sécurité, Wiseasy ne s’est pas non plus montrée très réactive dans la gestion de cet incident. Des réunions ont bien été calées entre Buguard et Wiseasy, mais cette dernière les a annulés à la dernière minute. Interrogée par TechCrunch, l’entreprise a finalement confirmé que la faille est colmatée et qu’une authentification à double facteur est désormais activée. Ce n’est pas trop tôt.

Malheureusement, Wiseasy n’a diffusé aucun autre détail technique. En particulier, on ne sait pas si les pirates ont siphonné des données personnelles ou s’ils ont réussi à mettre la main sur des données de cartes bancaires, qui sont généralement le principal objectif dans ce genre d’affaire.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Tech Crunch


Gilbert KALLENBORN