0saves

C’est un sujet qui dure depuis 2013 (date du premier article que j’avais lu à ce sujet) et qui semble encore d’actualité aujourd’hui : les failles et vulnérabilités de certains ATM qui les rendraient piratables (hacking) avec une simple clé USB.

securite informatique - faille ATM USB

 

Un simple port USB suffit… avec Windows XP

De fait, il y a un moyen simple de voler encore et encore une banque. Pour cela, il suffit de trouver un ATM, un distributeur, tournant sous Windows XP. Cela pourrait passer anachronique à l’heure au nombre de PC, même d’entreprises, tournent sous Windows 7 et 8, mais il n’est pas si rare de trouver encore enormément de systèmes tournant sous Windows XP.

La raison est surtout économique et structurelle : faire migrer tout un parc de machines informatiques et toute son infrastructure sur un nouveau système d’exploitation, même d’un fabricant identique, est une opération horriblement complexe et fastidieuse.

Donc une fois ce distributeur trouvé, il suffit au voleur de faire un trou dans le chassis de l’ATM pour dévoiler un port USB. Insérer ensuite un kit de piratage USB, appelé « black box », et le tour est joué. Le hacker est en mesure de pirater l’ATM (« skimming attack). Discret en plus, une fois le marware téléchargé dans la machine, il suffit de replacer la pièce de métal coupée dans le chassis pour dissimuler l’opération. Le hacker n’aura ensuite qu’à forcer l’ATM à se « rebooter » pour réécrire la base de registre le jour de réapprovisionnement en argent de la machine. Le hacker n’aura ensuite qu’à aller au clavier de commande de l’ATM, entrer un code pour activer un menu caché, couper les connections à Internet et à l’intranet de la banque, extraire tout l’argent de la machine via le système d’exploitation, puis effacer ses traces, avant de reconnecter l’ATM (descriptif basé sur une démonstration de deux experts en sécurité allemands effectués au Chaos Communications Congress en 2013).

Leur démonstration se basait sur le malware qu’il avait trouvé sur un nombre non communiqué d’ATM après un audit commandé par plusieurs banques.

La complexité du malware, et la propreté du code, implique forcément un temps de développement relativement long et des moyens financiers, ainsi que d’une profonde connaissance du fonctionnement d’un ATM.

Et ça c’était en 2013.

2015, on passe au smartphone

La science et la technique progressant :), désormais, en 2015, la clé USB a été remplacé par un smartphone, un Samsung S4 par exemple.

Car la faille existe toujours, et existera encore tant que des ATMs tourneront sous des systèmes d’exploitation anciens (Windows XP) ou non-sécurisées.

Ainsi, à la suite de la révélation de cette faille, certaines banques ont réagi et appliquer des correctifs, comme par exemple celui de ne pouvoir booter un ATM depuis une clé USB, ou celui de lancer une alerte à chaque fois qu’un ATM est déconnecté du réseau de la banque ou d’Internet.  Mais le nombre d’ATM dans le monde est tellement grand qu’il est virtuellement possible ue tous aient pu être sécurisé.

De plus, les hackers eux-mêmes ne restent pas inactifs. Voici, par exemple un kit de hacking appelé « black box » et tournant sur un Samsung S4. Le principe a évolué, car les hackers cherchent désormais à remplacer le « core » de l’ATM par leur propre « core » de façon à tromper la machine et le réseau, et ainsi à passer la sécurité implantée consistant à lancer l’alerte dès qu’un ATM est débranché.

black box skimmer

 

 

Autre intérêt du smartphone, le fait de pouvoir travailler à distance, de manière sécuritaire, pour le hacker. Une carte prépayée avec accès internet, un Samsung S4 volé ou d’occasion, payé cash, et celui-ci peut se connecter au smartphone connecté à l’ATM à distance. Relativement facile ensuite de masquer ses traces, via un système d’IPs dynamiques et un ping traversant plusieurs pays. Un homme de paille/une mule est elle chargée de collecter l’argent extrait de l’ATM, physiquement, et de prendre ainsi tous les risques en cas de problème.  Le hacker, lui, est loin.

Pratique, non ?

Et déjà, certaines banques ont réagi en renforçant le cryptage des communications entre le distributeur d’argent et son « core », et en privilégiant les ATMs encastrés dans des murs et doté d’un chassis blindé.

(source d’information : NCR, Charlie Harrow, solutions manager for global security)

Crédit photo : ATM Keypad 2 par William Grootonk et http://krebsonsecurity.com/

0saves
Si vous avez aimé ce "post", n'hésitez pas à laisser un commentaire ou vous abonnez à notre flux RSS.