Alerte sur une faille critique des terminaux de paiement, un fraudeur parvient à payer 1 centime pour des nuits à plusieurs milliers d'euros | ZD Tech : tout comprendre en moins de 3 minutes avec ZDNet

Description

Imaginez pouvoir séjourner dans les plus grands palaces madrilènes pour le prix d'un bonbon.

C'est l'exploit, certes illégal, réalisé par un hacker de 20 ans en Espagne.

Mais derrière l'anecdote du séjour à un centime d'euro se cache une faille critique dans les paiements en ligne.

Forcer le système à accepter un montant dérisoire

D'abord, il faut comprendre le mécanisme de cette intrusion. Le hacker ne s'est pas contenté de voler des numéros de carte bancaire, il a directement manipulé le flux de données entre le site de réservation et une plateforme de paiement internationale de premier plan.

Au moment de finaliser sa transaction, il modifiait le processus de validation pour forcer le système à accepter un montant dérisoire tout en renvoyant une confirmation d'achat apparemment légitime.

Concrètement, le système de l'hôtel recevait un feu vert officiel pour une réservation de plusieurs milliers d'euros, alors que le virement effectif n'était que d'un centime. C'est une attaque sophistiquée sur l'intégrité des données en transit qui montre que la simple présence d'un prestataire de paiement reconnu ne suffit pas à garantir la réalité de la somme versée.

Décalage temporel entre la validation du paiement et le règlement financier

Ensuite, cette affaire met en lumière une faille majeure. Il s'agit du décalage temporel entre la validation du paiement et le règlement financier.

Dans ce cas précis, l'escroquerie n'était détectée que plusieurs jours après le départ du client, au moment où la plateforme de paiement virait les fonds réels sur le compte de l'hôtel.

Ce "modus operandi", identifié pour la première fois par la police espagnole, exploite une confiance aveugle dans les notifications de succès transactionnel.

Le préjudice est ici de plus de 20 000 euros. Cela souligne l'urgence pour les DSI de mettre en place des systèmes de réconciliation financière en temps réel, capables de vérifier que le montant autorisé correspond strictement au montant facturé. Et ce avant de fournir la prestation.

La cybersécurité des plateformes de réservation tierces est le maillon faible de l'écosystème

Enfin, cet incident nous rappelle que la cybersécurité des plateformes de réservation tierces est le maillon faible de l'écosystème.

L'enquête a d'ailleurs démarré suite à la plainte d'une agence de voyages, et non de l'hôtel lui-même.

Pour les professionnels, le risque est double : financier, bien sûr, mais aussi réputationnel.

La réponse ne peut plus être uniquement technique, elle doit être procédurale, en intégrant des alertes automatiques sur les écarts de prix flagrants lors de la validation.

Car si le hacker de 20 ans a fini par être arrêté dans un palace de Madrid, il est la preuve même que la technologie ne dispense pas d'une surveillance humaine.

Le ZD Tech est sur toutes les plateformes de podcast ! Abonnez-vous !

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.