Les guichets automatiques ont toujours été une grande cible pour les hackers. Autrefois, partir à la chasse aux guichets signifiait l’emploi d’armes lourdes tels qu’un chalumeau à découper ou des explosifs. Tout a changé néanmoins après l’apparition de l’Époque Digitale : désormais les coupables peuvent « décrocher le gros lot » avec un guichet automatique sans avoir recours à de tels effets spéciaux.
Lors de la conférence sur la sécurité informatique (SAS 2016), Olga Kochetova, ingénieur spécialisée en Cybersécurité chez Kasperky Lab a expliqué dans son discours intitulé » Les méthodes des malwares et des non-malwares pour décrocher le gros lot d’un guichet automatique. » pourquoi les guichets automatiques sont aussi vulnérables.
- Dans un premier temps, les guichets automatiques sont initialement des ordinateurs. Ils sont composés de nombreux sous-systèmes électroniques, y compris d’étonnants régulateurs industriels, cependant un PC traditionnel est toujours présent tout au centre du système du guichet automatique.
- De plus, il y a de fortes chances pour que le PC soit plutôt contrôlé par un système d’exploitation ancien tel que Windows XP. Vous savez déjà sûrement ce qui ne va pas avec Windows XP : il n’est plus compatible avec Microsoft, donc n’importe quelle vulnérabilité trouvée après l’incompatibilité a été éliminée et est une perpétuelle attaque ZETA (Zero Day Exploit Attack) basée sur une vulnérabilité zero-day, que personne n’a jamais corrigé. Et vous pouvez parier qu’il existe BEAUCOUP de ces vulnérabilités.
#Microsoft is ending support for Windows XP. Learn what this means for your Kaspersky Lab products. http://t.co/j90rhV8wY3
— Kaspersky (@kaspersky) January 21, 2014
- Il se peut également qu’il y ait de nombreux logiciels vulnérables dans le système des guichets automatiques. Certains lecteurs flash désuets comptent plus de 9000 bugs largement répandus à l’intérieur qui sont connus pour commander à distance les outils d’administration et plus.
- Les fabricants de guichets automatiques ont tendance à croire que ces derniers fonctionnent toujours dans des » conditions normales » et que tout va bien. Donc généralement ils ne disposent pas de logiciel de contrôle, ni de solutions antivirus, ni d’authentification d’une application envoyant des commandes au distributeur de billets.
- Par opposition au dépôt en espèces et au distributeur automatique, qui sont toujours minutieusement blindés et verrouillés, le composant du PC du guichet automatique est facilement accessible. Son boîtier est habituellement fait de plastique, au mieux en métal fin, et sécurisé avec des verrous bien trop simples pour garder à distance les hackers. La logique des fabricants de guichets automatiques est la suivante : s’il n’y a pas d’argent dans cette partie du guichet, pourquoi prendre la peine de continuer à le sécuriser ?
RT @GrzegorzBr: Dozens of banks lose millions to cybercriminals attacks #theSAS2016: https://t.co/9lOgLiRMd6 via @kaspersky
— Kaspersky (@kaspersky) February 8, 2016
- Les modules des guichets sont interconnectés à des interfaces standards, tels que des ports COM ou USB. Parfois ces interfaces sont accessibles en dehors du coffre-fort. Même si ce n’est pas le cas, on doit toujours garder à l’esprit le précédent problème.
Infected USB drive idled power plant for 3 weeks http://t.co/3TwQFxNr
— Eugene Kaspersky (@e_kaspersky) January 18, 2013
- De par leur vraie nature, les guichets automatiques doivent être connectés, et ils le sont généralement toujours. Parce qu’Internet est le moyen le moins cher pour communiquer de nos jours, les banques s’en servent pour connecter les guichets automatiques aux centres de traitement. Et devinez quoi ? Oui, vous pouvez trouver des guichets automatiques sur Shodan!
#Shodan shows thousands of exposed ATMs potentially vulnerable to a network attack @_endless_quest_ #TheSAS2016 pic.twitter.com/9E3SSYwG89
— Eugene Kaspersky (@e_kaspersky) February 9, 2016
Prenant en compte tous les problèmes mentionnés ci-dessus, il existe plein d’opportunités pour les hackers. Par exemple, ils peuvent créer un programme malveillant, l’installer sur le système du guichet automatique et prélever de l’argent. De tels virus (chevaux de Troie), spécialement conçus pour les guichets automatiques font régulièrement leur apparition. Par exemple, nous avons découvert l’un d’entre eux appelé Tyupkin il y a un an.
Utiliser du matériel informatique supplémentaire connecté au port USB du guichet automatique peut être une autre alternative. Pour leur preuve de concept, Olga Kochetova et Alexey Osipov ont utilisé un petit ordinateur mono-carte bon marché, le Rasperry Pi équipé d’un adaptateur Wi-Fi et d’une batterie. Regardez la vidéo ci-dessous pour voir ce qu’il se passe ensuite.
L’attaque de la toile d’araignée mondiale (World Wide Web) peut s’avérer encore plus dangereuse. Les responsables peuvent établir de faux centres de traitement, ou s’emparer d’un vrai. Dans ce cas les hackers sont capables de voler de l’argent de nombreux guichets automatiques sans même avoir accès physiquement à leur matériel informatique. C’est exactement ce qu’un milliard de pirates informatiques du groupe Carbanak ont planifié pour y arriver : ils ont obtenu le contrôle de PC majeurs dans les réseaux bancaires. Ils ont été par la suite en mesure d’envoyer des commandes automatiquement aux guichets automatiques.
Full report on the #Carbanak APT is now live http://t.co/KRmjD1GhyL via @Securelist pic.twitter.com/5OMzJE0DgS
— Kaspersky (@kaspersky) February 16, 2015
Tout compte fait, les banques et les fabriquant de guichets automatiques devraient se soucier davantage de la sécurité des machines bancaires. Ils doivent reconsidérer les mesures de sécurité à la fois des logiciels software et matériaux informatiques hardware, réaliser un réseau d’infrastructures plus sûr etc. Il est aussi important pour les banques et les fabricants de réagir plus vite face aux menaces et de collaborer intensivement avec des organismes d’application de la loi et des entreprises de sécurité.