Commentaires sur : Comment pirater un distributeur de billets

Par : Vernon Vasconcelos

Vernon Vasconcelos — Mon, 25 Jul 2011 06:09:53 +0000

The post is definitely original and deserves the attention of all visitors.

Par : badrou

badrou — Fri, 18 Feb 2011 00:08:38 +0000

je pense que c possible de piraté un GAB
il y a 1 lieu , entre l’ok de la puce et l’ordre du serveure
c a ce mment tu peut travail qu’avec l’apparail , a vous de imaginé comment ouvre le trésore de ali baba ;

Par : lucas

lucas — Wed, 19 Jan 2011 19:29:26 +0000

je trouve sa génial.

Lucas

Par : lucas

lucas — Wed, 19 Jan 2011 19:28:59 +0000

je trouve sa très génial.

Lucas

Par : Dan

Dan — Mon, 02 Aug 2010 13:37:09 +0000

Korben, +1 pour la pompe à essence, j’en ai moins même fait planter une volontairement :

Il suffit d’anticiper les bips « retirer votre carte » (j’étais pressé) et retirer la carte avant.
Et hop « écran bleu » et reboot jusqu’au bios (bloque juste après)

Je ne l’ai fais qu’une fois sur une station Leclerc. Je vais retenter le coup pour être sûr tiens !

Par : Richard Mendosa

Richard Mendosa — Mon, 02 Aug 2010 13:21:08 +0000

@Cachem : le contrôle PIN se fait (et se fera) toujours lorsqu’il s’agit d’espèces, il n’est quasiment jamais « réalisé sur ATM » mais remonté aux centraux (serveur d’auto bancaire ou délégation à VISA/MC).
L’HSM local (pinpad) empêche par ailleurs toute récupération du code sur ATM de façon logicielle.

@DOCKY99 : vous étiez devant la machine lors du plantage, alors pourquoi ne pas vous rendre la carte ?
L’avalement provoquerait plus de dommages d’image pour un risque de remise de carte à un tiers négligeable.

Concernant l’ »exploit », ces constructeurs sont trop marginaux pour qu’il soit « exploitable », et ne parlons pas des transmissions (modem… typiquement US de par leur historique de pricing téléphonique).

Par : Dasoft

Dasoft — Sun, 01 Aug 2010 19:27:45 +0000

@bubba

C’est affiché à l’utilisateur suite à un plantage et ces écrans ne devraient pas être visible! la photo du boot de la station essence sous win n’est pas un plantage si c’est le caissier qui réinitialise mais le boot devrait être invisible.

Par : DOCKY99

DOCKY99 — Sun, 01 Aug 2010 15:27:04 +0000

Les caisse d’épargne tourne sur NT4 Worskstaion lance appli métier en 1er plan et ouvre une connexion logiciel VPN CheckPoint … c’est ce que j’ai pu voir quand le gab à rebooté sous mes yeux , le pire c’est que ma CB n’a pas été avalé mais rejeté…

Par : Ray'

Ray' — Sun, 01 Aug 2010 12:29:25 +0000

@Dasoft
Pour moi, la dernière version stable d’ubuntu cay 9.04…
Le pinguin, il aime freezer chez moi depuis 9.10
Et vista chez moi… J’arrive a le faire prendre 375mo, et il plante jamais malgrès tout se que je lui fait endurer \o/

Par : bubba

bubba — Sun, 01 Aug 2010 11:46:18 +0000

@dasoft :

jvois pas de plantage la. le premier est une séquence de boot tout a fait normale, mais sans bô écran. et le deuxieme est un halt normal, avec un array raid qui n’a pas été stoppé parce que busy. la carte coupera l’array en temps voulu.

sinon ça va la femme et les enfants toussa ?

Par : Dasoft

Dasoft — Sun, 01 Aug 2010 11:09:59 +0000

Les réactions du genre c’est windows, c’est normal c’est toujours aussi pathétique. Les distributeurs Linux plantent aussi, il y a juste moins d’exemples parce que beaucoup moins répandu et que les gens ne veulent pas discréditer Linux mais les deux plantent et planteront toujours (de moins en moins j’espère). Des exemples d’écrans publiques plantés avec Linux :
http://farm5.static.flickr.com/4041/4583785703_ea3901c10d.jpg
http://www.smy.fr/infos/img/navigo-linux.jpg

Par : Dr.pepper

Dr.pepper — Sun, 01 Aug 2010 07:18:58 +0000

@ le hollandais volant : c’était aussi les premiers système d’exploitation

Par : Kaku63

Kaku63 — Sat, 31 Jul 2010 11:43:00 +0000

C’est pas une pompe de La Pardieu ?

Par : fred

fred — Sat, 31 Jul 2010 09:45:56 +0000

Triton Error Codes :
http://www.atm24.com/support%20real/tech%20library/triton%20error%20codes.aspx

Si ça peut vous servir …

Par : Glup

Glup — Fri, 30 Jul 2010 15:05:04 +0000

Magnifique en théorie, infaisable en pratique.
De plus, mm si ces machine peuvent contenir 500K€ elles ne sont jamais au grand jamais chargé au max mais a peine du dixième de leur capacité.
elle contiennent aussi un rouleau papier qui inscrit toute actions effectués avec l’horaire(facile de recouper avec les cams….)
Je suis intervenu sur ces machines et je vous assure que commencé à les bidouiller est le meilleur moyen de déclaré la guerre à une armée d’expert en sécurité.
La seule démonstration valable aurait été de détourné 5$ et de réussir a rester libre plus de 10 jours….

Par : Johan

Johan — Fri, 30 Jul 2010 14:17:52 +0000

A sa place j’aurai clairement utilisé les failles… ou alors j’espère qu’il a été bien payé.

Par : Euro

Euro — Fri, 30 Jul 2010 12:21:38 +0000

« Et porter une cagoule en cette saison, pour éviter les caméras de suveillance, n’est pas chose facile. »

Ben c’est facile, t’y va en burqua !

Par : fluflu

fluflu — Fri, 30 Jul 2010 12:13:16 +0000

C’est l’inspecteur Barnaby son surnom dans le milieu , non ?
)

Par : A la découverte du web #4 | Astucee - Actualité. Web 2.0. High-tech.

A la découverte du web #4 | Astucee - Actualité. Web 2.0. High-tech. — Fri, 30 Jul 2010 11:03:02 +0000

[...] Korben : Comment pirater un distributeur de billets [...]

Par : Mobi

Mobi — Fri, 30 Jul 2010 10:18:14 +0000

Roooo ! mais pourquoi est-ce illegal ??

Par : Alexis

Alexis — Fri, 30 Jul 2010 09:52:50 +0000

Je suis étonnée de voir que ça tourne sur Windows …
En tout cas, la démonstration est très impressionnante, ca fait rêver ce genre de chose

Par : achaass

achaass — Fri, 30 Jul 2010 07:43:00 +0000

« Et porter une cagoule en cette saison, pour éviter les caméras de suveillance, n’est pas chose facile. »
En plus c’est illégal avec la loi sur la burqa

Par : Wifi-Securite.com

Wifi-Securite.com — Fri, 30 Jul 2010 07:36:22 +0000

L’informatique, c’est mal !

Par : Kruder

Kruder — Fri, 30 Jul 2010 07:23:17 +0000

Avec une émission électromagnétique au bon endroit avec la bonne puissance : pas besoin d’avoir accès aux cables…

oh le monde est si fragile, et plein d’injustice, d’inégalité : et de violence de toute sortes

Il va être temps de faire la paix économique : c’est un conseil biensur

IL y en a qui refuse d’écouter : et préfére faire des erreurs pour reconnaitres qu’ils sont dans l’erreur

Par : Cachem

Cachem — Fri, 30 Jul 2010 06:07:51 +0000

[edit]Il est ensuite transmis, sous forme cryptée, à la carte à puce qui réponds à l’application Windows OUI (…le code est bon), ou NON (le code est faux).[edit]

C’est faux ! Relis tes doc, le contrôle PIN ne se fait plus sur l’ATM depuis plusieurs années.

Par : Roby

Roby — Fri, 30 Jul 2010 00:33:24 +0000

Nous allons visiblement faire le plein à la même enseigne ^^ (prise il y a quelques jours) :
http://blog.dulourdedingue.fr/public/pompe.jpg

En tout cas cet article était fort intéressant.
++

Par : Florian

Florian — Thu, 29 Jul 2010 20:56:09 +0000

Il y a un mois en faisant le plein d’essence sur un automate 24/24, ce dernier a rebooté pendant que je me servais.
J’ai fini de faire le plein, je n’ai pas eu de ticket à la fin et après vérification sur mon compte je n’ai jamais été débité de ce plein.

Comme quoi Windows et ses plantages a du bon parfois !!!

Par : Donald

Donald — Thu, 29 Jul 2010 19:30:15 +0000

Bonsoir, Ca fait froid dans le dos ! Des petits malins vont sûrement le faire car un type dans les coms à donné la marque (encore un intelligent). Sinon, je pense que les concepteurs du logiciel français vont probablement se pencher sur la question. Pour windows, c’est un peu normal vu que Microsoft a le quasi monopole. Perso, j’aurai pensé qu’il inventent un O.S juste pour les machines style D.A.B et pompe à essence. C’est dommage que les grands pontes n’y ont pas pensé. Sur ce, bonne soirée à tous !

Par : chris

chris — Thu, 29 Jul 2010 19:10:17 +0000

Ouai m’enfin c’est un peu léger quand même, il y à des protections aux distributeur de billets

Par : Didier

Didier — Thu, 29 Jul 2010 18:49:04 +0000

Je suis d’accord avec ‘blz’ concernant le reseau privé des GAB (là c’est la traduction française d’ATM : Guichet Automatique Bancaire. Ou DAB = Distributeur Automatique de Billet): C’est un VPN, qui ne passe plus par Transpac, mais par internet. Et avec ‘Sebdraven’ et ‘Zip’ pour les marques autorisées en France.

Comme C Longuepez j’me la pète aussi pour avoir oeuvré une dizaine d’années dans la monétique.

Une précision technique supplémentaire pour éviter la parano : il est impossible de pirater le code secret d’une carte bancaire, en hackant l’application Windows. Ce code, lorsqu’il est tapé au clavier, est crypté par l’electronique intégrée juste en dessous du clavier lui même. Il est ensuite transmis, sous forme cryptée, à la carte à puce qui réponds à l’application Windows OUI (…le code est bon), ou NON (le code est faux).

Pour celui qui voudrait démonter un clavier pour tenter un reverse engineering sur l’electronique et l’algorythme de cryptage, il n’aurait pas d’autre choix que de détruire le circuit qui est coulé dans une résine. La poule aux oeufs d’or quoi. C’est pareil pour les terminaux de paiements : dès qu’on tente d’inspecter les entrailles du clavier, c’est détruit.

La seule méthode connue en France pour pirater les codes secrets, encore utilisées récemment dans le Nord je crois, c’est une caméra positionnée au dessus du clavier.

Je pense que la meilleure méthode serait celle ci : fabriquer soi même un GAB, et aller l’installer au culot dans un centre commercial en se faisant prendre pour l’installateur qualifié. Cela demande évidemment des gros moyens ! Lorsqu’un client a besoin de flouze : introduisez votre carte… taper votre code secret… petite reflexion de 30 secondes… l’écran de l’engin affiche « désolé ça marche pas »… et la machine rends la carte.

Je vous laisse imaginer ce qu’il peut se passer à l’intérieur de la machine. Il ne faut pas oublier le détail qui tue : prendre en photo le code CVV à 3 chiffres au dos de la carte, car celui ci n’est inscrit nul part ailleurs qu’à cet endroit.

D’ailleurs un conseil : effacez ce code CVV de votre carte, et gardez le en mémoire, en plus du code secret !