logo Homepage
Pages: [1]
  Imprimer  
Auteur Fil de discussion: CARDING - faille dans les cartes cadeaux à code barre  (Lu 2928 fois)
#Z@tox#

Profil challenge

Classement : 266/49789

Membre Complet
***
Hors ligne Hors ligne
Messages: 153


Voir le profil WWW
« le: 03 Mai 2018 à 19:30:55 »

Bonjour a toutes et a tous,

récemment victime d'une fraude a la carte cadeau, je souhaite partager mon expérience avec vous et vous décrire la méthode employée par les"pirates", les guillemets ont leur importance car il ne faut réellement de compétences informatiques pour exploiter la faille. La méthode m'a été décrite par le responsable service clientèle travaillant sur le sujet de la sécurité des consommateurs d'une grande enseigne

ATTENTION LA METHODE EST DONNEE A TITRE INFORMATIF, LA REPRODUIRE EST TOUT A FAIT ILLEGAL !

Type de carte concernée : Les cartes cadeaux de grande enseignes simplement équipées d'un code-barre
Matériel utilisé par le "pirate" : un smartphone et une imprimante basique de cartes PVC , une premier prix suffit

1 - Introduction :

Vous vous voyez offrir une carte cadeau par vos amis dans votre magasin préféré. Comme la plupart des cartes cadeaux des grandes enseigne, il s'agit d'une  simple carte en PVC blanc imprimée en recto Verso.

Sur le recto figure un visuel plus ou moins élaboré aux couleurs de l'enseigne.

Sur le Verso figure un code barre tout bête.

2- Fonctionnement normal de la carte:

Le client choisit une carte cadeau dans l'enseigne, la présente au caissier.

Celui-ci a l'aide de son logiciel de caisse, flashe le code barre.

Cette action lui permet alors de créditer la carte du montant désiré par le client.

Le client repart avec la carte cadeau et l'offre a qui il souhaite (certaines personnes en manque d'affection s'en offrent à eux même, mais cela fera l'affaire d'autres forums spécialisés   )

Le bénéficiaire présente la carte lors de son achat dans le magasin souhaité et il bénéficie d'une remise à hauteur de la somme créditée sur la carte.

Jusque là tout va bien n'est-ce pas ?

Sauf que dans les fait la faille se situe comme suit (on va simplement détaller le paragraphe précédent)



3- Exploitation de la faille:

Le client choisit une carte cadeau dans l'enseigne, a coté des caisses, verso avec code barre bien visible pour permettre au caissier de la flasher , et recto bien visible également car le visuel est vendeur, et la présente au caissier. Or , les pirates équipés d'un simple smartphone prennent en photo le code barre et le visuel du recto. Une fois chez eux, ils reproduisent simplement les cartes avec une imprimante a cartes PVC toute simple (pas de puce ni de bande magnetique a encoder, juste le code barre a reproduire et le visuel a imprimer sur le verso.

Le caissier a l'aide de son logiciel de caisse, flashe le code barre. Il accède a la base de données ou toutes les cartes produites et donc en vente en magasin sont répertoriées. Par défaut le montant du crédit alloué a chaque carte est de 0.00€.

Cette action lui permet alors de créditer la carte du montant désiré par le client. il modifie le montant dans l'ordinateur et remplace 0.00€ par 100.00€ par exemple

Le client repart avec la carte cadeau et l'offre a qui il souhaite (certaines personnes en manque d'affection s'en offrent à eux même, mais cela fera l'affaire d'autres forums spécialisés   )

Le bénéficiaire présente la carte lors de son achat dans le magasin (parois plusieurs mois après, car les cartes sont en règle générale valables 1an) ce qui laisse largement le temps au faussaire d'utiliser sa copie dans un magasin, laquelle aura entre temps été créditée par le caissier . et il bénéficie d'une remise à hauteur de la somme créditée sur la carte. mais là, la carte ayant déja été utilisée (enfin sa copie) par le pirate, le crédit en faveur de l'utilisateur honnête est de 0.00€

4 - correction de la faille:

La correction de la faille semble simple, il suffirait simplement aux enseignes de passer a des cartes PVC a puces ou a bande magnétique.

mais cela n'est pas si facile, cela impliquerait une modification de chaque caisse pour encoder les puces ou les bandes, le cout des machines est conséquent, sans compter celui des cartes qui coutent jusqu’à 10 fois plus cher qu'une simple carte en PVC.

A priori cela couterait trop cher a la grande distribution.

40% des cartes cadeaux seraient concernées par ce format


la faille est peu connue, mais elle est déconcertante tant elle est facile a exploiter.


Amicalement #z@tox#
« Dernière édition: 03 Mai 2018 à 19:38:16 par #Z@tox# » Journalisée

^ ^_ _ < >< > B A
wiwiland
Beta testeur

Profil challenge

Classement : 86/49789

Membre Complet
*
Hors ligne Hors ligne
Messages: 175


Voir le profil
« #1 le: 03 Mai 2018 à 21:37:46 »

Merci pour l'info !
Super simple de scanner rapidement tous les codes-barre du présentoir (même si pas très discret).
Il ne leur serait pas possible d'ajouter des hologrammes sur les cartes, un peu comme ceux sur les CB ? C'est déjà moins évident à reproduire...
Le coût par carte est peut-être trop important vis-à-vis de ce que leur coûte la fraude.
Journalisée
#Z@tox#

Profil challenge

Classement : 266/49789

Membre Complet
***
Hors ligne Hors ligne
Messages: 153


Voir le profil WWW
« #2 le: 04 Mai 2018 à 06:50:17 »

Sans doute, mais cela implique une manutention pour coller l’hologramme sur chaque carte ou la faite produire déjà hologramme en usine dans les 2 cas cela a un cout!

Morale de l’histoire il faut utiliser ça carte cadeau le plus tôt possible! Tant que les enseignes ne seront pas passées à un autre type de carte...
Journalisée

^ ^_ _ < >< > B A
Pech
Profil challenge

Classement : 29/49789

Membre Junior
**
Hors ligne Hors ligne
Messages: 78


Voir le profil
« #3 le: 08 Mai 2018 à 22:59:57 »

Je vois pas comment le client (le gentil de l'histoire) peut prouver sa bonne foi donc je ne pense pas que cela coûte le moindre centime aux magasins en question : s'ils ne se soucient pas du risque de perdre un client ils peuvent simplement t'envoyer bouler...
Par contre, il me semble qu'il y a un moyen tout con pour régler ça (sauf si le "pirate" a accès à la BDD du magasin mais c'est un autre problème) : quand on t'offre une carte cadeau tu connais le nom de celui qui te l'offre donc il suffit que le magasin associe la carte au nom de l'acheteur et le caissier / la caissière te le demande quand tu veux utiliser la carte, non ?
Journalisée
wiwiland
Beta testeur

Profil challenge

Classement : 86/49789

Membre Complet
*
Hors ligne Hors ligne
Messages: 175


Voir le profil
« #4 le: 09 Mai 2018 à 11:24:54 »

Ça peut coûter un peu d'argent en image de marque, perte de clientèle, justice si des clients décident de porter plainte, etc.
Le problème pourrait aussi être pallié en générant un code aléatoire lors du crédit de la carte. Au passage en caisse, on t'imprime par exemple un ticket avec un code à 4 chiffres à conserver et à remettre au destinataire de la carte.
Journalisée
#Z@tox#

Profil challenge

Classement : 266/49789

Membre Complet
***
Hors ligne Hors ligne
Messages: 153


Voir le profil WWW
« #5 le: 13 Mai 2018 à 17:29:48 »

on va leur proposer un audit de leur systeme de cartes cadeau et leur vendre cette solution de code aléatoire ou de nom a demander.

et hop par ici la monnaie

NC audit bonjour ca fera 1500 $ siouplait
Journalisée

^ ^_ _ < >< > B A
Pages: [1]
  Imprimer  
 
Aller à: