Les « RAM scrapers » et autres malwares ciblant les points de vente

Alors qu’il semble que le vol de données n’a touché que les États-Unis, il y a de grandes chances pour que vous sachiez déjà que la célèbre chaîne de grands

Alors qu’il semble que le vol de données n’a touché que les États-Unis, il y a de grandes chances pour que vous sachiez déjà que la célèbre chaîne de grands magasins Target, a subi une énorme violation de données à la fin de l’année dernière. Les informations de carte bancaire de près de 40 millions de consommateurs ainsi que les informations personnelles de plus de 70 millions de personnes ont été exposées pendant cette violation qui a duré près d’un mois – profitant ainsi des fêtes de fin d’année – et affectant presque tous les magasins Target situés aux États-Unis.

On pourrait penser que pour voler les informations de carte bancaire de centaines de millions de clients Target, les pirates auraient besoin de compromettre le système de paiement ou les serveurs corporatifs de Target, afin de voler en masse toutes les données d’un même endroit. Évidemment, ce serait une bonne manière de voler des quantités massives de données de paiement à la célèbre enseigne mais, bizarrement, ce n’est pas ce qu’il semble s’être produit dans le cas de Target.

D’ailleurs, le système de paiement de Target n’avait presque rien à voir avec la violation. Les responsables de l’attaque ont déployé un type spécial de malware qui cible les lecteurs de carte et les caisses – également connus sous le nom de malware de point de vente (PDV).

Pour être plus clair, les attaquants ont certainement réussi à rentrer dans les serveurs de paiement de Target. Néanmoins, le problème est que lorsque les données de la carte arrivent aux serveurs, les informations ont déjà été chiffrées. Cependant, ces informations doivent être déchiffrées pendant un court instant afin d’autoriser le paiement. À ce moment, la caisse elle-même – ou un serveur rattaché au système – stocke les données de paiement en texte clair dans sa mémoire RAM.

C’est là que le malware de PDV rentre en jeu. Les malwares de PDV sont créés pour obtenir ces données déchiffrées stockées dans la mémoire RAM et filtrer les informations de paiement telles que les numéros de carte, les noms d’utilisateurs, les adresses, les codes de sécurité et toutes les autres données de paiement. Ce type de malware connus sous le nom de « RAM scrapers » (littéralement, « gratteurs de RAM ») existe depuis au moins six ans.

Dans le cas de Target, il y a de grandes chances pour que les pirates aient envoyé leur malware de PDV depuis un serveur central connecté aux points de vente ou sur les serveurs où le processus d’autorisation a lieu. Ils auraient sinon eu à installer leur malware sur chaque terminal PDV dans tous les magasins Target, ce qui semble assez improbable.

Un chercheur de Seculert qui a examiné l’incident a annoncé que les pirates avaient compromis l’infrastructure des points de vente à travers une machine du réseau infectée. À partir de là, ils auraient installé une variante du célèbre malware BlackPOS, que vous pouvez acheter très facilement en ligne sur des forums de piratage (en supposant que vous sachiez où trouver ces derniers).

Selon un avertissement publié par une coalition qui inclut le département de la sécurité intérieure américain, les services secrets américains, le NCCIC (National Cybersecurity and Communications Integration Center), le FS-ISAC (Financial Sector Information Sharing and Analysis Center) et les partenaires d’iSIGHT, BlackPOS est facile à détecter car son code source a été rendu public récemment.

BlackPOS n’est cependant pas le seul malware de PDV et Target est loin d’être l’unique détaillant faisant face à cette menace.

BlackPOS n’est cependant pas le seul malware de PDV et Target est loin d’être l’unique détaillant faisant face à cette menace. D’ailleurs, le prestigieux grand magasin, Nieman Marcus, et l’enseigne Michael ont déclaré qu’ils avaient également été victimes d’une attaque similaire. Certains ont suggéré que les trois attaques étaient liées mais il ne s’agit que de spéculations.

L’avertissement de la coalition annonce que les malwares de PDV sont sur le point d’exploser. La plupart des nouveaux malwares – selon eux – seront de simples modifications de chevaux de Troie qui existent déjà, tels que Zeus. Alors que les malwares de PDV sont de plus en plus accessibles aux criminels et faciles à détecter par les forces de l’ordre, les développeurs de ce type de malwares (comme les développeurs de chevaux de Troie l’ont fait avant eux) deviendront des chevaux de Troie plus difficiles à détecter.

Le département de sécurité intérieur et autres ont remarqué une augmentation des publicités (dans différentes langues) pour les malwares de PDV dans les forums de développeurs freelance. En d’autres termes, les criminels postent des annonces offrant de payer les développeurs qui accepteraient de créer des « RAM scrapers » pour eux. Ils affirment qu’une augmentation similaire des malwares de PDV s’est produite en 2010. Au début de cette année, les projets de malwares de PDV valaient entre 425 et 2500 dollars. À la fin de 2010, leur valeur est montée à plus de 6500 dollars et la popularité du malware continue d’augmenter.

De plus, ils pensent que la propagation des malwares de PDV sera rendue possible grâce à des chevaux de Troie spécialisés dans le vol d’identifiants et qui disposent des codes sources accessibles qui peuvent être facilement modifiés pour réaliser des opérations de grattage de RAM.

De plus, ils pensent que la propagation des malwares de PDV sera rendue possible grâce à des chevaux de Troie spécialisés dans le vol d’identifiants et qui disposent des codes sources accessibles qui peuvent être facilement modifiés pour réaliser des opérations de grattage de RAM.

« Les codes sources des malwares spécialisés en vol d’identifiants qui sont diffusés publiquement pourraient fournir les bases à ceux qui n’ont pas les capacités de créer un nouveau type de malware, ou pour ceux qui cherchent à utiliser leurs créations précédentes afin d’optimiser l’efficacité de leur système », explique l’avertissement. « L’absence d’obstacles pourrait mener à la vente de plus de types de malwares de PDV et donc à une éventuelle baisse des prix et à un plus grand nombre d’utilisateurs. »

Le point suivant est essentiel : pour chaque facette de la cybercriminalité, il existe un paradigme. Les attaques sont d’abord nouvelles, difficiles à réaliser et à répliquer. Ensuite, ces attaques deviennent plus faciles, ce qui donnent aux pirates les plus doués l’habilité de les réaliser. En outre, ces pirates commencent à créer des kits d’attaque facilement utilisables qui rendent la cybercriminalité accessible à presque tout le monde doté d’un clavier et de mauvaises intentions.

Encore une situation à laquelle vous ne pouvez pas faire grand chose. Vous ne pouvez évidemment pas rentrer dans votre supermarché et remplacer toutes les machines Windows XP vulnérables qui gèrent son infrastructure de PDV par un système plus moderne et plus sécurisé. Vous ne pouvez pas non plus faire grand chose pour vous assurer que chaque magasin suit les règles de sécurité ou pour vous assurer que chaque machine de leur réseau est sécurisée.

L’autre problème est qu’il existe probablement de nombreuses failles dont nous n’entendrons jamais parler, que cela soit parce que la compagnie victime est malhonnête ou mal informée (dans le cas par exemple où ils refuseraient d’admettre ou qu’ils ne réaliseraient pas qu’une violation a eu lieu). Dans le cas de Target néanmoins, ils ont réagit assez rapidement et ont relativement bien géré la situation. La plupart des banques ont publié des avertissements sur leur site Web afin de prévenir leurs clients des risques, ce qui nous a donné l’opportunité de vérifier nos comptes et de remplacer nos cartes potentiellement compromises. Voici essentiellement ce que vous pouvez faire : lire l’actualité, surveiller le solde de votre compte et obtenir de nouvelles cartes si besoin est.

 

Conseils