Bonjour a toutes et a tous,
récemment victime d'une fraude a la carte cadeau, je souhaite partager mon expérience avec vous et vous décrire la méthode employée par les"pirates", les guillemets ont leur importance car il ne faut réellement de compétences informatiques pour exploiter la faille. La méthode m'a été décrite par le responsable service clientèle travaillant sur le sujet de la sécurité des consommateurs d'une grande enseigne
ATTENTION LA METHODE EST DONNEE A TITRE INFORMATIF, LA REPRODUIRE EST TOUT A FAIT ILLEGAL !Type de carte concernée : Les cartes cadeaux de grande enseignes simplement équipées d'un code-barre
Matériel utilisé par le "pirate" : un smartphone et une imprimante basique de cartes PVC , une premier prix suffit
1 - Introduction : Vous vous voyez offrir une carte cadeau par vos amis dans votre magasin préféré. Comme la plupart des cartes cadeaux des grandes enseigne, il s'agit d'une simple carte en PVC blanc imprimée en recto Verso.
Sur le recto figure un visuel plus ou moins élaboré aux couleurs de l'enseigne.
Sur le Verso figure un code barre tout bête.
2- Fonctionnement normal de la carte:Le client choisit une carte cadeau dans l'enseigne, la présente au caissier.
Celui-ci a l'aide de son logiciel de caisse, flashe le code barre.
Cette action lui permet alors de créditer la carte du montant désiré par le client.
Le client repart avec la carte cadeau et l'offre a qui il souhaite (certaines personnes en manque d'affection s'en offrent à eux même, mais cela fera l'affaire d'autres forums spécialisés
)
Le bénéficiaire présente la carte lors de son achat dans le magasin souhaité et il bénéficie d'une remise à hauteur de la somme créditée sur la carte.
Jusque là tout va bien n'est-ce pas ?
Sauf que dans les fait la faille se situe comme suit (on va simplement détaller le paragraphe précédent)
3- Exploitation de la faille:Le client choisit une carte cadeau dans l'enseigne, a coté des caisses,
verso avec code barre bien visible pour permettre au caissier de la flasher , et recto bien visible également car le visuel est vendeur, et la présente au caissier.
Or , les pirates équipés d'un simple smartphone prennent en photo le code barre et le visuel du recto. Une fois chez eux, ils reproduisent simplement les cartes avec une imprimante a cartes PVC toute simple (pas de puce ni de bande magnetique a encoder, juste le code barre a reproduire et le visuel a imprimer sur le verso.Le caissier a l'aide de son logiciel de caisse, flashe le code barre.
Il accède a la base de données ou toutes les cartes produites et donc en vente en magasin sont répertoriées. Par défaut le montant du crédit alloué a chaque carte est de 0.00€.Cette action lui permet alors de créditer la carte du montant désiré par le client.
il modifie le montant dans l'ordinateur et remplace 0.00€ par 100.00€ par exempleLe client repart avec la carte cadeau et l'offre a qui il souhaite (certaines personnes en manque d'affection s'en offrent à eux même, mais cela fera l'affaire d'autres forums spécialisés
)
Le bénéficiaire présente la carte lors de son achat dans le magasin
(parois plusieurs mois après, car les cartes sont en règle générale valables 1an) ce qui laisse largement le temps au faussaire d'utiliser sa copie dans un magasin, laquelle aura entre temps été créditée par le caissier . et il bénéficie d'une remise à hauteur de la somme créditée sur la carte.
mais là, la carte ayant déja été utilisée (enfin sa copie) par le pirate, le crédit en faveur de l'utilisateur honnête est de 0.00€4 - correction de la faille:La correction de la faille semble simple, il suffirait simplement aux enseignes de passer a des cartes PVC a puces ou a bande magnétique.
mais cela n'est pas si facile, cela impliquerait une modification de chaque caisse pour encoder les puces ou les bandes, le cout des machines est conséquent, sans compter celui des cartes qui coutent jusqu’à 10 fois plus cher qu'une simple carte en PVC.
A priori cela couterait trop cher a la grande distribution.
40% des cartes cadeaux seraient concernées par ce format
la faille est peu connue, mais elle est déconcertante tant elle est facile a exploiter.
Amicalement #z@tox#