Hackers en série : Ozark

Dans le second épisode de la troisième saison, Wendy et ses complices se rendent au sein du casino qu’elle souhaite acquérir. Ils s’installent au plus près des machines à sous pour réaliser leur méfait. La scène commence par un gros plan sur le décolleté d’une femme. Elle y place son téléphone portable, caméra face à la machine à sous, qu’elle déclenche. Un complice, dans un camion non loin du casino, lui indique, par téléphone, à quel moment elle doit appuyer sur stop. L’arnaque fonctionne à merveille, c’est le jackpot.

Rapidement, tous les complices de Wendy se mettent à suivre cette même technique. Wendy jubile, le bruit des gains des machines à sous en bruit de fond devenant de plus en plus intense.

Mais alors, est-ce que c’est possible ? Techniquement, compromettre une vieille machine à sous est possible, car celles-ci sont codées en VB, un langage de programmation ne permettant pas de simuler de manière efficace la génération de nombres aléatoires. Une faiblesse qui rend donc le calcul des probabilités possible, notamment, si comme dans la série, un cybercriminel aurait pour idée de streamer le rouleau en direct et l’envoyer à un complice.

C’est notamment ce qui est arrivé aux Etats-Unis il y a quelques années…

En 2014, le casino Lumière de Saint-Louis, aux Etats-Unis, a été victime de cette attaque, comme le raconte le magazine Wired : « Saint-Louis a remarqué que plusieurs de ses machines à sous avaient – juste pour quelques jours – perdu les pédales. Le logiciel, approuvé par le gouvernement, qui alimente ces machines donne à la maison un avantage mathématique fixe, de sorte que les casinos peuvent être certains de la somme qu’ils gagneront sur le long terme – disons 7,129 cents pour chaque dollar joué. Mais les 2 et 3 juin, un certain nombre de machines du casino ont donné bien plus d’argent qu’elles n’en avaient consommé […]. Comme le code n’est pas sujet à des crises de folie soudaines, la seule explication plausible était que quelqu’un trichait ».

L’article continue ainsi : « La sécurité du casino a visionné les cassettes de surveillance et a finalement repéré le coupable, un homme d’une trentaine d’années […]. Contrairement à la plupart des tricheurs aux machines à sous, il ne semble pas avoir bricolé les machines qu’il visait, qui étaient toutes des modèles plus anciens […]. Il se contentait de jouer, en appuyant sur les boutons d’un jeu […] tout en tenant furtivement son iPhone près de l’écran. Il s’éloignait au bout de quelques minutes, puis revenait un peu plus tard pour donner une seconde chance au jeu. C’est à ce moment-là qu’il avait de la chance. L’homme pariait un investissement de 20 à 60 dollars et pouvait gagner jusque 1 300 dollars avant d’encaisser ses gains et de passer à une autre machine, où il recommençait le cycle ».

En deux jours, il aurait ainsi gagné plus de 21 000 dollars.

En 2009, la Russie a interdit les jeux de hasard. Une décision qui a forcé les casinos à revendre, entre autres, leurs machines à sous. Certains acheteurs n’étaient autres que des cybercriminels, désireux d’analyser leur code source pour en tirer avantage. Leurs travaux leur ont permis de trouver et de réussir à exploiter la vulnérabilité suivante : « Grâce à une observation ciblée et prolongée des différentes séquences de jeu et éventuellement à l’enregistrement de chaque jeu, il pourrait être possible d’identifier une sorte de “modèle” dans les résultats des jeux ».

Plusieurs établissements aux Etats-Unis ayant subi le même sort que le casino de Saint-Louis, une enquête a été ouverte. En voici les conclusions : « Les tricheurs utilisent leur téléphone pour enregistrer environ deux douzaines de tours sur un jeu qu’ils visent à tricher. Ils envoient ces images à une équipe technique à Saint-Pétersbourg, qui analyse la vidéo et calcule le modèle de la machine en fonction de ce qu’ils savent du générateur de nombres pseudo-aléatoires du modèle. Enfin, l’équipe de Saint-Pétersbourg transmet une liste de marqueurs de temps à une application personnalisée sur le téléphone de l’agent ; ces marqueurs font vibrer le combiné environ 0,25 seconde avant que l’agent n’appuie sur le bouton de rotation ».

Sarah, l’une de nos expertes en France est une ancienne croupière. La jeune femme, ainsi que Mathieu, pentester, ont accepté de nous donner leur point de vue sur la scène d’Ozark mais aussi sur l’arnaque de 2014.

S’ils ne réfutent pas les vulnérabilités techniques pouvant permettre ce genre de désagrément, ni ne minimisent l’ingéniosité des cybercriminels russes, ils alertent sur un détail : chaque recoin d’un  casino est équipé d’une caméra de sorte à ce qu’aucun angle mort ne soit oublié. Au moindre gain, les personnes en charge de la sécurité ont pour mission de surveiller le vainqueur.

En outre, les photos et vidéos sont aujourd’hui interdites. Le seul moyen technique de pouvoir potentiellement perpétuer ce hack serait d’utiliser une caméra cachée. Le tricheur aurait tout de même besoin d’utiliser son smartphone pour contacter ses complices, ce qui pourrait rendre son comportement suspect.

Aujourd’hui – ou en 2019, année de sortie de la troisième saison – ce hack ne semble plus vraiment réaliste, bien qu’il l’ait été il y a moins de dix ans !