Publié le 11-06-2004 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal

Money, money, money. Des casinos online il y en a partout. Les publicités, illégales en France, tombent comme neige au soleil sur les sites web, dans les mels, les popups, ... Promesse du moment, gagner de l'argent facilement. Les casinos annoncent quasiment tous une redistribution de 95 % des gains joués. Une manne financière qui ne pouvait pas laisser indifférents les escrocs numériques et les pirates. Nous avons voulu savoir si les casinos étaient protégés. Normalement oui, dès que l'on parle d'argent sur le web, les administrateurs regardent de plus près à ne pas voir leurs clients, et eux même, se faire piller. On va malheureusement vous décevoir. Nous avons découvert pas moins de 80 casinos Online ouvert à tous les vents.

Cachez donc ce jackpot que je ne saurai voir
Notre technique n'a pas été des plus révolutionnaires, mais semble être malheureusement très efficace. Pardon de frustrer les plus avides d'entre vous, mais pas question pour nous de vous expliquer comment accéder à ce que nous allons vous montrer.

Notre but est de vous alerter du danger et pas de vous transformer en cyber-criminels. On doute que passer les prochains mois en prison vous intéresse.

Premier de nos exemples, les casinos qui ne protègent pas du tout leurs clients. Nos premières photographies montrent comment il était possible de prendre l'identité d'un joueur, donc de modifier les informations pour recevoir leurs gains... ou pire, les ruiner d'un coup de dés numérique. Faille découverte dans une quarantaine de casinos Online.

Autre exemple, la modification des informations mises en ligne sur le site du casino, nous avons découvert une trentaine de casinos faillibles à ce genre de problème. Imaginez mettre un faux site, et voir vos sous disparaître dans les poches d'un escroc. On ne parle pas de la possibilité de mettre un trojan, un espion numérique, dans l'un des jeux à télécharger.

Nous terminerons avec deux exemples ultimes. Le premier, la possibilité de "gagner" et/ou de modifier les jackpots. Imaginez le problème pour le casino. Vous modifier les informations du jackpot, de manière à gagner, par exemple, 10 000 fois la mise, au lieu des 100 promis. Nous avons découvert 4 sites offrant cette terrible option.

Le dernier cas, imparable, est la possibilité de rentrer dans le serveur via une faille ou tout bêtement un backdoor. Nous avons découvert un seul casino faillible à ce problème mais ici tout était possible.

Des chiffres et des lettres
Le piratage de casino ne se passe pas que sur le web. Nous avons rencontré Benoît, un informaticien britannique, qui travaille pour une chaîne de casinos de sa gracieuse majesté. L'anonymat étant de mise, il a bien voulu nous parler sans citer son entreprise qui a vécu un étrange cas au mois de février dernier.

"Un joueur a gagné pas moins de 300 000 Livres Sterling, via 4 machines et cela en moins de 2 heures (...) Nous sommes toujours en train de chercher comment il a pu faire (...) il a été payé mais aujourd'hui il est sur une blacklist qui lui interdit l'accès aux casinos du pays".

Comment est-ce possible, notre interlocuteur n'en sait rien, ou du moins n'a pas souhaité nous le dire. Les cas de piratages d'un Jackpot ne sont pas courants, il faut dire aussi que le secret professionnel oblige les salariés à un bouche cousue de rigueur. L'un des derniers cas connus date du mois de mars dernier. Un pirate canadien avait découvert comment piéger certaines machines à sous de la marque VLT.

Un problème qui a obligé l'Atlantic Lottery Corps à remplacer les puces informatiques dans plus d'un tiers de ses 3 538 machines. Environ 20 emplacements avaient été utilisés par le pirate et ses complices. ALC ne sait pas combien d'argent il a pu perdre et n'a pas souhaité communiquer sur le procédé du pirate... qui semble en tout cas loin d'être manchot.

Casino et mafia
Nous avons posé la question à plusieurs casinos online sur le sujet Mafia et machine à sous virtuelle. "Il ne faut pas pousser entre parlant de mafia, fraude on-line et casinos on-line.

C'est bel et bien trois choses distinctes, même si il peut arriver que les uns utilisent les autres.". Il est vrai que plusieurs banques ont mis en garde leurs clients au sujet des casinos. Les cartes (MasterCard, Visa, etc.) n'aiment pas les casinos en ligne parce qu'il y a beaucoup de répudiation. Le joueur qui perd, aura très facilement tendance à dire que ce n'est pas lui qui a misé. Détail important les casinos sérieux arrivent quand même à maintenir ce taux largement en dessous de 1%. Les banques elles-mêmes ont reconnu que 80% des numéros de cartes volés l'étaient via les "facturettes" émises par les machines des commerçants ou les distributeurs de billets, et non pas directement via Internet. "Si un mafieux veut blanchir avec un casino en ligne, la méthode est la même qu'avec un casino "réel" : être propriétaire, et y faire perdre ses hommes de main. Résultat : le casino a fait des gains parfaitement légaux en apparence, et son propriétaire peut en disposer sans être inquiété légalement !" dixit notre contact.

La plus grosse fraude sur les casinos en ligne, 30% seraient dans ce cas, est de tout simplement "plumer" le joueur en ne versant jamais de jackpot ou autre gain autre que tout petit pour appâter les gogos.

MIT Black jack team
On se devait de finir cet article par l'histoire folle de 6 étudiants du MIT, le Massachusetts Institut technology. Ce nid à matheux a été le terrain d'une expérience folle. 1993, un professeur de cette prestigieuse université de Boston a entraîné ses élèves à tricher au casino. Comment ? Par le calcul mental.

Le plus fou est qu'ils vont réussir à gagner plus de 1 million de dollars directement via les tables BlackJack des casinos de Las Vegas. Il faut savoir qu'à la différence des autres jeux des casinos, le BlackJack possède une mémoire. L'idée est d'atteindre le score de 21 points pour gagner à tous les coups. Les 6 étudiants vont trouver une méthode qui leur a permis de connaître les cartes contenues dans les 6 paquets de 52 cartes.

Une arnaque de première car chaque étudiant ayant son rôle propre. Celui qui compte, celui qui joue au flambeur pour détourner l'attention, celui qui montre qu'il compte et se plante, ... Bilan, 154 % de retour sur investissement.

Concours Coca Cola 2008

Vous venez de gagner un lot de 32.000 euros via un concours organisé par Coca-Cola. Une arnaque sans sucre.

Fuite de données via Google Bloc-notes

Un commercial de la société Vonage enregistré ses notes et données sensibles sur son espace privé Google Bloc-notes.

Un nouveau ver s'attaque aux réseaux d´entreprise

Une alerte concernant les nouvelles versions du ver Downadup. Ce ver infecte les postes de travail et serveurs Windows.

Espionnage informatique effectué par la police

Le département britannique de l´Intérieur annonce préparer un plan qui permettra à la police d´infiltrer et espionner les ordinateurs personnels de l´ensemble des citoyens.

Université des Correspondants Informatique et Libertés

L´Association Française des Correspondants Informatique et Libertés organise le 21 janvier prochain sa 3ème Université des Correspondants Informatique et Libertés.

La justice Chinoise s´attaque aux contrefacteurs

La Chine a rendu public huit importants cas de réseaux de contrefacteurs de films, logiciels et livres.

L´actualité juridique du mois de décembre

Comme il est de tradition sur ZATAZ depuis 13 ans, voici les actualités mensuelles de Maître Murielle Cahen, avocate spécialisée dans les NTIC.

Mort de Castlecops

Castlecops, association qui travaillait sur la cybercriminalité, vient d´annonce la cessation de ses activités.

Fuite de données via Google Bloc-notes

Un commercial de la société Vonage enregistré ses notes et données sensibles sur son espace privé Google Bloc-notes.

Université des Correspondants Informatique et Libertés

L´Association Française des Correspondants Informatique et Libertés organise le 21 janvier prochain sa 3ème Université des Correspondants Informatique et Libertés.

Mort de Castlecops

Castlecops, association qui travaillait sur la cybercriminalité, vient d´annonce la cessation de ses activités.

Joomla! powa !

Révélation d´informations système sensibles par le biais de Joomla!

Compromission de système par le biais de xterm.

Exécution de commande arbitraire à distance par le biais du terminal xterm.

Déni de service distant pour VMware

DoS sur le démon vmware-authd de VMware Workstation et de VMware Player.

Piratage de compte Domus... attention arnaque

Depuis quelques jours, un site Internet propose aux internautes de récupérer des accès piratés à des joueurs de Domus.

Analyse d´une attaque RFI

Comment d´une simple attaque de type remote File Inclusion nous sommes tombés sur un réseau de trafiquants de cartes bancaire.

Réagissez à ce contenu