Source 

https://www.wired.com/story/atm-hack-nfc-bugs-point-of-sale/

https://www.phonandroid.com/un-hacker-affirme-quil-peut-pirater-les-distributeurs-de-billets-avec-
son-smartphone.html

Une faille dans le lecteur NFC entraîne le piratage des distributeurs

automatiques de billets.
La sécurité des distributeurs automatiques de billets captive la curiosité de diverses façons. Il s'agit
d'un type d'équipement de sécurité très particulier, car il doit être capable d'assurer à la fois la
protection physique des devises et la protection contre les attaques informatiques, tout en étant
installé dans des lieux publics. À ce jour, les attaques reposaient sur l'accès à un port USB caché sous
le boîtier, voire à des composants internes. Il est donc difficile d'imaginer une personne
malintentionnée réaliser ces attaques en public.

Un chercheur de la société de sécurité IOActive Josep Rodriguez a découvert une série de bugs qui lui
permettent de pirater les distributeurs automatiques de billets - ainsi qu'une grande variété de
terminaux de point de vente - d'une nouvelle manière : en passant son téléphone au-dessus d'un
lecteur de carte de crédit sans contact.

Les systèmes NFC vous donnent la possibilité de passer une carte de crédit devant un lecteur - plutôt
que de la glisser ou de l'insérer - pour effectuer un paiement ou retirer de l'argent d'un distributeur
automatique.

Le chercheur a créé une application Android qui permet à son smartphone d'imiter les
communications radio de cartes crédit et d'exploiter les failles du micrologiciel des systèmes NFC.
D'un geste de son téléphone, il peut exploiter une variété de bogues pour faire planter les appareils,
les pirater pour collecter et transmettre les données des cartes de crédit, modifier de manière
invisible la valeur des transactions, et même verrouiller les appareils en affichant un message de
ransomware. Il a dit également qu'il peut même forcer au moins une marque de distributeurs
automatiques de billets à distribuer de l'argent - bien que ce piratage "jackpot" ne fonctionne qu'en
combinaison avec d'autres bogues qu'il dit avoir trouvé dans le logiciel des distributeurs
automatiques de billets. Il a refusé de préciser ou de divulguer publiquement ces failles en raison
d'accords de non-divulgation avec les fournisseurs de DAB.

Le chercheur a signalé la faille aux fabricants depuis presque 1an, dont ID Tech, Ingenico, Verifone,
Crane Payment Innovations, BBPOS, Nexgo, et un fournisseur non identifié, il y a 7 mois. Néanmoins,
pour les obliger à agir rapidement, il a déjà annoncé qu'il divulguerait des détails techniques dans les
semaines à venir.

Reste à savoir s'il est techniquement possible pour les fabricants concernés de corriger la faille de
sécurité sur tous les équipements en circulation.