Las Vegas : quand les hackers surpassent Hollywood

Dans le film « Ocean's Eleven », une bande de braqueurs menée par George Clooney parvenait à tromper la sécurité de trois casinos de Las Vegas en diffusant de fausses images sur les écrans de surveillance. Du cinéma, vraiment ? Samedi, deux hackeurs ont montré qu'ils pouvaient réussir, en vrai, le casse du siècle grâce à ce stratagème. Mais sans partir avec le butin. « Nous voulions voir à quel point ce type d'attaques était plausible », a précisé l'un d'eux.

Les deux diplômés du prestigieux Institut de technologie du Massachusetts (MIT) ont accompli leur exploit dans un hôtel-casino de Las Vegas, la ville où Steven Soderbergh avait situé la scène d'« Ocean's Eleven » en 2001. Non pas qu'Eric Van Albert et Zach Banks aient eu besoin de ce décor pour ajouter du réalisme à leur démonstration : c'est dans cette ville du Nevada qu'a lieu depuis près d'un quart de siècle Def Con, une convention de hackeurs, dont l'édition 2015 s'est achevée dimanche.

Les deux chercheurs ont dépensé environ 450 â?¬ (500 $) pour fabriquer leur sésame : un boîtier électronique qui permet d'accéder à distance au câble reliant les caméras aux écrans des gardiens. Le logiciel remplace les images susceptibles de confondre les braqueurs par des séquences anodines tournant en boucle.

Au lieu de surprendre les bandits en action, un agent de sécurité surveille, sans le savoir, une salle déserte. Heureusement pour les banques et les casinos, les coffres-forts ne sont pas uniquement protégés par des caméras ! D'autres dispositifs sont aujourd'hui utilisés, comme des serrures biométriques, à reconnaissance faciale ou à empreinte digitale...

Pour parfaire leur plan, les deux chercheurs auraient pu s'associer avec Daniel Petro et Oscar Salazar. Quelques heures avant eux, ces deux experts en sécurité informatique de la société Bishop Fox ont réussi, avec une simple clé USB, à ouvrir un coffre-fort. Pas le genre de caisson en métal épais comme Hollywood aime en montrer à l'écran, mais un modèle plus informatisé, donc plus faillible. Le coffre-fort dernier cri permet de compter les billets en les numérisant et de créditer les comptes des dépositaires par Internet. Il offre quelques portes d'entrées aux astucieux pirates à travers son écran tactile ou son port USB, utilisé habituellement pour résoudre les bugs. C'est ce point de connexion que les experts ont choisi, parce qu'il leur permettait, selon eux, d'utiliser un ordinateur plus puissant pour forcer l'accès au trésor.

Daniel Petro a toutefois reconnu qu'il restait nécessaire d'accéder physiquement au coffre pour le pirater et en retirer l'argent. Mais pas question de donner des mauvaises idées aux malfaiteurs : les deux acolytes ont averti la société Brink's, qui fabrique ces coffres-forts, de leur vulnérabilité. Le problème a entre-temps été résolu.