Un chercheur en sécurité montre la possibilité d’acheter un MacBook Pro pour 1 dollar à cause d’une faille
Acheter un MacBook Pro pour un dollar, ce serait idéal n’est-ce pas ? Des chercheurs en sécurité d’ERPScan montrent qu’il est techniquement possible de payer ce prix, que ce soit pour un MacBook ou n’importe quel produit. Pourquoi ? Parce qu’il existe une faille dans les terminaux de point de vente qui permet de modifier les données.
Le processus est expliqué dans la vidéo ci-dessus. Il faut d’abord avoir un accès physique au terminal de point de vente, mais ce n’est pas réellement compliqué. En effet, ces derniers sont placés dans les rayons et il n’y a pas de protection particulière généralement. Une fois placé à côté du terminal, il faut connecter un Raspberry Pi qui va injecter un programme malicieux dans le terminal de point de vente. Il est ensuite possible d’avoir un contrôle sur le terminal à distance et de faire des modifications, notamment en modifiant le prix lié à un code-barre en particulier.
C’est avec cette méthode que le MacBook Pro s’affiche à un dollar, parce que les informations liées à son code-barre ont été modifiées dans le système du terminal. Bien évidemment, un MacBook Pro à ce prix est plus que suspect et le vendeur pourrait se demander s’il n’y a pas un problème. Néanmoins, le hacker peut très bien appliquer une remise comme 20% ou 30% et le vendeur ne devrait pas être réellement étonné.
ERPScan a averti SAP et Oracle (qui fournissent les équipements et logiciels des terminaux de points de vente) de ce problème de sécurité et la faille a été corrigée depuis.