Faille de sécurité dans un terminal de paiement suisse : micrologiciel non crypté et shell root accessible
Un chercheur en sécurité a procédé à l’ingénierie inverse d’un terminal de paiement Worldline Yomani XR largement utilisé en Suisse, découvrant un micrologiciel non crypté et un shell root accessible publiquement. Malgré les protections physiques anti-manipulation, le port de débogage est accessible de l’extérieur, permettant aux attaquants d’obtenir un accès root et de déployer des logiciels malveillants en 30 secondes. Cependant, une analyse plus approfondie a révélé que le système Linux ne gère pas les données sensibles (comme les informations sur les cartes) ; un processeur séparé, crypté et signé, gère les fonctions de sécurité. Bien qu’il s’agisse d’un important oubli d’ingénierie logicielle, le risque direct semble moins important que craint initialement.
Lire plus