Au Canada, deux adolescents sont parvenus à prendre le contrôle d'un distributeurs de billets après avoir téléchargé son mode d'emploi sur internet.
Le piratage des distributeurs de billets n’est pas l’apanage des professionnels. Deux enfants de 14 ans en ont fait la démonstration hier à Winnipeg au Canada. Comme le rapporte la presse canadienne, Matthew Hewlett et Caleb Turon ont commencé par se procurer le manuel de l’opérateur de distributeur en farfouillant sur Internet. Ils ont ensuite décidé de tester leur trouvaille. Les deux compères ont été surpris que "ça marche" aussi facilement. Ils ont donc réussi à accéder aux informations contenus dans le distributeur automatique de billets. Ils ont appris combien d’argent était disponible dans la machine, combien de transactions avaient été effectuées, leurs montants et bien d’autres informations confidentielles.
Bien sûr, pour pénétrer dans le système du distributeur, il a fallu taper un code secret. Et là, les enfants se sont contentés de taper le mot de passe indiqué par défaut dans le manuel. A leur grande surprise, c’était le bon ! En clair, le mot de passe n’avait jamais été changé. Les enfants sont allés rapporter leur exploit à la banque qui exploitait les machines. Au début, les adultes se sont montrés franchement sceptiques. Les enfants sont retournés au distributeur piraté et ont imprimé les informations qu’ils avaient découvertes. Et pour marquer leur passage, ils se sont amusés à changer le message d’accueil. Au lieu de "Bienvenue sur le distributeur BMO" c’est "Fuyez, ce distributeur a été piraté" qui s’est affiché.
Les responsables de BMO ont alors pris la chose très au sérieux, allant même jusqu'à rédiger un mot d’excuse pour l’école justifiant le retard de ces deux enfants en raison de leur aide dans la sécurité de la banque.
Aussi vulnérables qu'un PC
L’anecdote montre de façon flagrante le manque de sécurité de certains équipements bancaires. Il n’y avait même pas, semble-t-il, une protection élémentaire, de type pare-feu/antivirus avec changement de mot de passe programmé à intervalle régulier. Selon Kirill Kruglov, chercheur chez Kaspersky, le fabricant russe d’antivirus, "les distributeurs sont des appareils informatiques comme les autres qui peuvent être aussi vulnérables qu’un ordinateur familial."
Ce que ces deux enfants ont réussi à faire n’est que l’une des nombreuses façons de pirater un distributeur de billets. La plupart des attaques malveillantes aboutissent à des vols de données et d’argent. Deux méthodes sont particulièrement inquiétantes : les attaques réseaux et celles utilisant des équipements amovibles.
Selon Kirill Kruglov, "une attaque de DAB classique peut se faire en 2 étapes. Tout d’abord, les criminels vont télécharger un petit logiciel (malware, exploit, etc.) sur un appareil amovible USB ou un CD. Après avoir réussi à connecter l’appareil USB au DAB, le logiciel va permettre aux utilisateurs de bénéficier des droits d’administration à un haut niveau et ainsi pouvoir lancer le malware. Les pirates peuvent également choisir une autre approche, à savoir initialiser un DAB depuis un CD.
En désactivant les polices et les logiciels de sécurité en place dans la machine, il ne leur reste plus qu’à déposer le malware directement sur le disque dur. Il est ensuite exécuté par l’OS. Cela pourrait prendre la forme d’un backdoor contrôlant l’OS du DAB par exemple. Une fois que le distributeur a été hacké, il ne reste plus aux criminels qu’à récupérer les billets qui s’y trouvent."
Et les terminaux de paiement en boutique ?
En ce qui concerne les terminaux de points de vente, la technique utilisée est un peu différente. Les criminels installent un composant malveillant qui leur permet de lire la mémoire RAM du terminal. Ce composant va ensuite récupérer les informations liées aux cartes utilisées pour les transactions enregistrées. Une fois l’opération terminée, le malware se connecte de nouveau au serveur du centre de commandes et de contrôle mis en place par les criminels et y transfère les données.
Bref, les ordinateurs des banques sont des ordinateurs comme les autres... La généralisation des objets connectés et la circulation des données confidentielles entre ces objets commencent déjà à attirer les convoitises. Si l’intérêt de pirater les données venant d’un appareil qui mesure les battements du cœur pendant l’entrainement d’un sportif du dimanche peut sembler limité, il n’en est pas de même pour d’autres informations comme par exemple celles qui figurent sur le dispositif permettant d’ouvrir une voiture à distance, ou encore les informations domotiques qui peuvent renseigner sur la présence ou l’absence des habitants d’une maison et sur le moyen d’ouvrir une porte électronique...
Source : http://www.challenges.fr
Commentaires
Enregistrer un commentaire