Piratage de Burger King : une surveillance audio du drive réussie via un contournement de l’authentification

 (bobdahacker.com)
1 points par GN⁺ 2025-09-07 | 1 commentaires | Partager sur WhatsApp
  • Une équipe de recherche en sécurité a découvert une vulnérabilité de contournement de l’authentification dans le système de drive de Burger King
  • Cette faille a confirmé la possibilité d’un accès non autorisé au flux audio du drive
  • Des contrôles internes insuffisants ont créé un environnement permettant une surveillance en temps réel
  • Un attaquant pouvait collecter directement des données vocales sans procédure complexe particulière
  • Cette affaire remet en lumière l’importance de la sécurité des infrastructures IT de la restauration

Aperçu de l’incident

  • Une équipe de recherche en sécurité a exploité une vulnérabilité de contournement de l’authentification dans le système audio du drive de Burger King
  • Cette faille permettait à des personnes externes d’accéder au flux audio du système sans authentification supplémentaire

Méthode d’attaque

  • La cause provenait d’une absence d’authentification HTTP ou d’une politique d’authentification faible sur l’interface web
  • Les chercheurs ont confirmé qu’un attaquant pouvait accéder directement aux données audio du système en connaissant simplement son adresse IP

Impact et risques

  • Cette vulnérabilité fait émerger un risque de fuite de données personnelles, notamment via la surveillance en temps réel des conversations des clients
  • Un attaquant externe pouvait facilement dérober le flux opérationnel de l’établissement ainsi que des informations clients

Enseignements

  • L’affaire met en évidence des problèmes dans la gestion des appareils IoT et des réseaux dans la restauration et le retail
  • La nécessité de mécanismes d’authentification robustes et d’audits de sécurité réguliers s’en trouve renforcée

À lire aussi

1 commentaires

 
GN⁺ 2025-09-07
Commentaire sur Hacker News

  • Le blog est actuellement inaccessible ; je partage donc à la place un lien vers la Web Archive

  • Quand on regarde la suite de l’histoire, il semble que ce chercheur en sécurité ait suivi les règles de divulgation responsable et publié son billet après la correction de la faille, mais sans recevoir la moindre réponse de l’entreprise. Autrement dit, il y a l’idée qu’une récompense n’est due que s’il existe un accord préalable, mais même s’il s’attendait à en recevoir une, il n’a finalement jamais eu de nouvelles. J’ai moi aussi découvert une faille de sécurité sensible dans une startup connue et je l’ai signalée en détail par plusieurs e-mails via la procédure officielle, mais je n’ai reçu qu’une invitation HackerOne, alors que les récompenses précédentes tournaient autour de 2 000 $, et que je pensais que ma découverte valait plutôt entre 10 000 et 50 000 $. Or je n’avais pas le temps de rédiger le rapport formel qu’on me demandait, et je n’allais pas le faire pour 2 000 $. Je me demande si, dans ce genre de cas, je peux moi aussi publier un billet de blog public

    • En réalité, l’entreprise a bien pris contact, mais le billet a reçu une notification DMCA (plainte pour atteinte au droit d’auteur). Même en voyant la capture d’écran de l’e-mail, on ne comprend pas clairement en quoi il y aurait eu violation du DMCA ; cela ressemble à un cas typique d’abus du DMCA. L’entreprise qui a généré cette demande DMCA basée sur l’IA a même reçu un investissement de Y-Combinator. Référence
    • Pour être précis, au lieu de « divulgation responsable », il vaudrait mieux parler de « divulgation coordonnée » (coordinated disclosure), car le mot « responsable » tend à donner une apparence plus morale à certains comportements
    • Tant qu’il n’y aura pas de réglementation forte et d’application réelle, ce genre de situation ne cessera pas. Aujourd’hui, le choix est essentiellement : payer un bug bounty, ou prendre plus tard un risque plus grand en matière de procès ou de relations publiques. Du point de vue de l’entreprise, elle choisit entre une dépense certaine et immédiate, et un risque futur incertain ; elle optera donc pour l’option la moins coûteuse. Si, à l’avenir, une faille de sécurité entraînait des sanctions massives — par exemple une amende de 10 millions de dollars plutôt qu’un bounty de 100 000 $ — et qu’un CEO sache qu’en ignorant un rapport pour en tirer un avantage financier il pourrait être démasqué et perdre sa maison, alors l’entreprise paierait probablement le bounty. Il faut que le poids du risque repose sur le fournisseur
    • Si on rend ce genre d’affaire public, les commentaires ou les titres de presse peuvent se propager de manière encore plus directe ou moqueuse, et cela peut devenir viral à l’échelle nationale s’il n’y a pas d’autre actualité marquante à ce moment-là. L’histoire du « chercheur non payé » est quelque chose à quoi tout le monde peut s’identifier, donc c’est un mauvais choix en termes de RP
    • Si l’objectif est de faire prendre conscience aux entreprises qu’elles doivent payer correctement les bounties, alors je pense qu’une publication publique peut être éthiquement défendable

  • J’ai cru comprendre que le billet a été retiré parce qu’une plainte DMCA avait été envoyée à Cloudflare. Il me semble que le DMCA comporte plusieurs étapes ; je comprends que l’hébergeur s’en charge, mais si j’auto-hébergeais sans Cloudflare, que se passerait-il ? Je me demande surtout si la plainte DMCA remonterait alors jusqu’à mon FAI ou à mon registrar

    • Je me demandais pourquoi on était sûr que c’était à cause du DMCA, mais j’ai compris après avoir vu ce post connexe
    • En général, la plainte DMCA est transmise au FAI. Selon les FAI, ils la relaient ou non à l’utilisateur. À l’époque où les gens téléchargeaient des films via torrent, c’était bien plus fréquent, parce que les studios envoyaient des DMCA à l’aveugle
    • En 2008-2009, j’exploitais plusieurs serveurs bare metal chez SoftLayer à Dallas, Texas, et l’un des clients était un forum de musique sud-américaine. Quand quelqu’un mettait un MP3 en ligne, le datacenter coupait immédiatement le routage du trafic vers le serveur dès réception d’une demande DMCA. J’ose à peine imaginer quels outils existeront d’ici 2025

  • Je me dis que le fait d’enregistrer des conversations au drive sans notification distincte pourrait être le genre d’affaire qu’un avocat d’un État à « consentement des deux parties » adorerait. Bien sûr, on pourrait rétorquer qu’en criant en public il n’y a pas d’attente raisonnable de vie privée, mais j’y vois quand même un risque juridique

    • En général, enregistrer dans un lieu public sans consentement n’entraîne pas de responsabilité légale. Si c’est un endroit où n’importe qui peut accéder au drive, il serait possible d’enregistrer sans autorisation ni notification particulière. Cela dit, j’ai découvert que certains États interdisent même l’enregistrement dans des lieux publics. Ces lois n’ont encore été ni confirmées ni annulées par la Cour suprême des États-Unis
    • Je me demande s’il faut vraiment obtenir le consentement des deux parties même dans un lieu public

  • Ce qui m’étonne le plus, c’est qu’il existe un système qui va jusqu’à dicter la manière de parler au drive. Il impose un ton positif et des formules d’encouragement comme « You rule », mais du point de vue des employés, on ne peut pas être comme ça en permanence. En pratique, les clients sont déjà contents si tout ce qu’ils ont commandé est effectivement dans le sac. En plus, la qualité du système audio est souvent si mauvaise qu’il est difficile de distinguer si quelqu’un a vraiment dit « You rule ». Je ne comprends pas pourquoi on micromanagerait avec ce type de logiciel quelqu’un payé 6 $ de l’heure pour retourner des burgers

    • Ironiquement, plus un emploi est mal rémunéré, plus les managers ont tendance à être tatillons et stricts. Par exemple, si vous êtes développeur, gagnez plus de 100 000 $ par an et travaillez à distance, prendre une semaine d’arrêt maladie ne pose aucun problème. Mais si vous êtes payé à l’heure dans un centre d’appels, ne pas prévenir 48 heures à l’avance peut entraîner une sanction immédiate. Et si vous êtes déjà sous sanction, vous n’avez même plus droit aux indemnités maladie. Sans certificat médical, c’est le licenciement
      1. En réalité, il n’y a absolument rien de mal à retourner des burgers. 2) Fondamentalement, c’est un système où des travailleurs mal payés refilent ce genre de contraintes à des travailleurs encore plus mal payés. Un minimum de considération serait nécessaire

  • Il y a plus de 40 ans à Los Angeles, quelqu’un a découvert que les bornes drive-up de Burger King étaient reliées au restaurant par une liaison radio RF. Il a identifié la fréquence et le mode de modulation, puis a pu reproduire la même communication avec un émetteur-récepteur portable. Ils ont installé un caméscope sur un parking voisin, filmé des clients du drive et leur ont joué des tours pour rire ; cela a donné une vidéo intitulée « Attack on a Burger King ». C’étaient des ingénieurs de diffusion, et la vidéo circulait déjà dans les studios à l’époque. La fin montre un employé sortir en courant vers les clients, pendant que les hackers disent en plaisantant au client de s’enfuir. Je ne sais pas si cette vidéo a fini par être mise en streaming

    • Autrefois, la plupart des casques de drive de fast-food utilisaient la bande professionnelle VHF. Un groupe appelé « Phone Losers of America » était connu pour ce genre de blagues. Vidéo YouTube de référence « I'm in the freezer at QuikTrip! »

  • La phrase « Ils m’ont envoyé le mot de passe en clair par e-mail. En 2025, en plus. On en viendrait presque à admirer leur détermination à rester mauvais en sécurité » ajoutait une bonne dose de sarcasme savoureux

  • Cela dit, pour nuancer, si le système force l’utilisateur à changer son mot de passe dès la première connexion, je ne pense pas qu’envoyer un mot de passe temporaire en clair par e-mail soit forcément un problème

  • Le blog a encore été retiré, et j’ai consulté une version sauvegardée via archive.is

  • Ouch, c’est vraiment un très mauvais exemple. C’est assez grave, mais ce type d’erreur arrive encore souvent, même dans les grandes entreprises. Je suis sûr qu’il existe encore des dizaines d’autres géants qui répètent exactement ce genre de faute