Piratage de distributeurs: des billets en open bar

Mercredi dernier, la presse canadienne se faisait l’écho du piratage d’un distributeur automatique de billets par deux adolescents. Cette affaire a mis en lumière le manque de protection des équipements bancaires utilisés par le grand public et le risque que cela représente pour les données et les flux financiers des particuliers.

Pour se protéger de tels incidents, les banques et les entreprises de commerce doivent déployer une combinaison d’outils de protection. Dans certains cas, une simple combinaison pare-feu/antivirus suffit, dans d’autres il faut des équipements spécialisés. Mais quoi qu’il arrive, le déni du risqué et l’absence totale de protection ne peuvent pas être une stratégie viable. D’autant plus que les deux mômes ont réussi leur tour de passe-passe en récupérant le mode d’emploi d’un ATM, distributeur de billets, et à utiliser les informations. A noter que le mot de passe de la machine était celui mis par le constructeur : admin/admin.

Kirill Kruglov, chercheur chez Kaspersky Lab ne trouve pas cette attaque étonnante « Est-ce étonnant que deux enfants canadiens aient pu pirater un distributeur automatique de billets à l’aide d’un manuel trouvé sur Internet ? Nous aimerions penser que oui et pourtant cette affaire n’est que l’illustration d’une réalité toute simple : les distributeurs automatiques sont des appareils informatiques comme les autres. S’ils ne sont pas protégés par un mot de passe fort et renforcés avec des équipements interdisant l’accès aux ressources de gestion à des tiers (ce qui n’a apparemment pas été le cas au Canada), ils peuvent être aussi vulnérables qu’un ordinateur familial« .

L’utilisateur du mot de passe par défaut tel qu’il est donné dans le manuel d’utilisation est une énorme faille de sécurité. Il n’est même pas question ici des limites d’un logiciel, mais de l’absence complète de sécurité Informatique. Cependant, ce que ces deux enfants ont réussi à faire n’est que l’une des nombreuses façons de pirater un distributeur de billets car il existe bien d’autre façons pour des criminels de pénétrer dans le système, même s’il est protégé. Deux sont particulièrement inquiétantes : les attaques réseaux et celles utilisant des équipements amovibles.

Les attaques faisant appel à des équipements amovibles ne sont pas courantes, en partie car les réseaux bancaires sont le plus souvent bien protégés. Les attaques réseau visent plutôt les terminaux de points de vente et caisses enregistreuses informatisées, qui sont le plus souvent connectés à des réseaux traditionnels plus vulnérables au cyber attaques.

Une attaque de DAB classique peut se faire en 2 étapes seulement. Tout d’abord, les criminels vont télécharger un petit logiciel (malware, exploit, etc.) sur un appareil amovible USB ou un CD. Après avoir réussi à connecter l’appareil USB au DAB, le logiciel va permettre aux utilisateurs de bénéficier des droits d’administration à un haut niveau et ainsi pouvoir lancer le malware. Les criminels peuvent également choisir une autre approche, à savoir initialiser un DAB depuis un CD. En désactivant les polices et les logiciels de sécurité en place dans la machine, il ne leur reste plus qu’à déposer le malware directement sur le disque dur. Il est ensuite exécuté par l’OS. Cela pourrait prendre la forme d’un backdoor contrôlant l’OS du DAB par exemple. Une fois que le distributeur a été piraté, il ne reste plus aux criminels qu’à récupérer les billets qui s’y trouvent.

En ce qui concerne les terminaux de points de vente, la technique utilisée est un peu différente. Les criminels installent un composant malicieux qui leur permet de lire la mémoire RAM du terminal. Ce composant va ensuite récupérer les informations liées aux cartes utilisées pour les transactions enregistrées. Une fois l’opération terminée, le malware se connecte de nouveau au serveur du centre de commandes et de contrôle mis en place par les criminels et y transfère les données.

Jackpot loin d’être une nouveauté

En mai 2010, un jeune pirate reprogrammait des distributeurs de billets afin de multiplier sa demande d´argent par 20. Aux USA, les ATM, des distributeurs de billets, sont partout. Les commerçants peuvent installer ce genre de matériel afin de proposer à leurs clients de retirer de l’argent liquide. Il faut pour cela une carte, soit bancaire soit acquises dans un magasin. Un jeune américain de 19 ans avait trouvé le moyen de reprogrammer certains ATM, de marque Tranax et Triton, afin que les machines lui fournissent des billets de 20 $ à la place des 1 $ demandés. Autant dire qu’avec 400 dollars, l’ATM lui restituait 8.000 $. Le voleur n’avait rien d’un génie, il savait juste lire. Pour atteindre la page d’administration des ATM, il lui a suffit de consulter le mode d’emploi des ATM, accessible sur le web et de recopier le mot de passe usine que certains commerçants n’avaient pas modifié.

Avec une clé USB aussi

Réussir le piratage d’un distributeur de billets avec une clé USB. Facile et efficace ! Dans l’émission de décembre 2013 de ZATAZ.TV, une démonstration sur comment il est possible d’exécuter tout et n’importe quoi (injection code malveillant, interception connexion Wifi, récupération de données d’un disque dur) via une clé USB particulière. D’après l’enquête de deux hackers Allemands, une banque internationale a été attaquée via ce type de matériel. Nous vous expliquions, en janvier 2014 sur DataSecurityBreach.fr explique comment, via un trou dans les distributeurs de billets, les pirates ont pu s’amuser avec une option créée par leur cheval de Troie, une option que l’on peut prénommer « retrait illimité« .

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.