BFM Business

Il a hacké une appli Android pour recevoir des bières gratuites

-

- - -

Un chercheur en sécurité a trouvé un moyen de collecter de faux points de fidélité depuis une application mobile qui récompense les consommateurs réguliers. Malin.

Dans le commerce de proximité, l’arrivée des technologies mobiles n’est pas forcément une aubaine. Un chercheur en sécurité polonais – Kuba Gretzky - s’est récemment penché sur une application Android qui permet de collecter des points de fidélité dans des lieux de restauration. Elle permet à l’utilisateur, par exemple, de recevoir une bière gratuite au bout de 5 bières consommées. Pour collecter ces points de fidélité, l’application – dont le nom n'est pas dévoilé - s’appuie sur une technologie Bluetooth. A chaque consommation, le restaurateur fait glisser le smartphone à proximité d’un émetteur appelé "beacon". L'application mobile envoie alors une requête au serveur informatique du restaurateur pour valider l'achat.

Les codes d'authentification sont disponibles pour tous

M. Gretzky a réussi à décortiquer le trafic entre le beacon, l'application mobile et le serveur informatique et a remarqué qu'il était au final assez simple de créer de fausses requêtes de validation. Certes, celles-ci contiennent des codes d'authentification, mais elles peuvent être extraites directement depuis les beacons, qui les émettent en permanence et à une distance de 70 mètres. Il suffit donc de se rendre dans le commerce, récupérer les codes d'authentification, puis de rentrer chez soi pour envoyer tranquillement ses fausses requêtes qui donneront accès à des consommations gratuites.

Le chercheur en sécurité n'a pas donné tous les détails de son hack qui, par ailleurs, nécessite quand même la mise en place chez soi d'un proxy d'interception HTTPS (Fiddler). Un minimum de savoir-faire technique est donc nécessaire. Pas de quoi mettre les restaurateurs technophiles sur la paille, à condition de ne pas laisser cette faille ouverte trop longtemps.