Black Hat : de l'art de pirater les distributeurs de billets

00B4000000046607-photo-le-distributeur-d-argent-tous-les-coups-on-gag.jpg
Il y a des présentations qui barbent l'assistance et d'autres qui lui arrachent des hourras. On imagine que la démonstration réalisée mercredi par Barnaby Jack lors de la conférence Black Hat appartenait à la seconde catégorie : ce hacker a en effet amené sur scène deux distributeurs de billets automatiques (DAB, ou ATM outre Atlantique) qu'il a piratés de façon à ce que ceux-ci se changent en fontaines à billets verts.

Ni thermite, ni fer à souder. Barnaby Jack a expliqué, comme le rapporte Wired, avoir réussi à passer les protections des deux distributeurs puis à y inoculer un logiciel de sa conception qui en a changé le comportement.

Premier cas de figure : un DAB connecté à Internet ou à une ligne téléphonique, ce qui serait selon le hacker le cas de 95% des distributeurs installés aux Etats-Unis de façon à ce que leur fournisseur puisse en assurer la maintenance à distance. Une fois les coordonnées de la machine localisées sur le réseau (adresse IP ou numéro de téléphone), il aura donc suffi à Barnaby Jack de leurrer le dispositif d'identification pour s'introduire dans la machine. Dans le second cas de figure, il explique s'être procuré très simplement en ligne une clé universelle qui permet d'ouvrir l'un des capots du distributeur et avoir installé son logiciel par le biais d'une simple clé USB.

Le malware ainsi inoculé, baptisé Scrooge (vraisemblablement en hommage au personnage de Dickens), est en mesure d'observer toutes les actions effectuées sur le distributeur, mais aussi d'enregistrer les coordonnées de cartes bancaires et les mots de passe ou, tout simplement, d'obéir à son propriétaire en lui permettant par exemple de vider la machine des billets qu'elle contient.

Dans les deux cas, c'est une vulnérabilité logicielle qui a permis la prise de contrôle, a expliqué Barnaby : la première se situait au niveau des processus d'authentification tandis que la seconde, qui aurait déjà été corrigée par le fabricant, permettait l'exécution d'un code non signé au niveau du système embarqué.

Au delà de son caractère sensationnel, la démonstration visait à alerter sur les possibilités de fraude informatique liée au circuit des distributeurs de billets. Un phénomène bien réel puisque selon un rapport de l'agence ENISA (European Network and Information Security Agency), il aurait permis en 2008 le détournement de quelque 485 millions d'euros.
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Powercolor propose une Radeon HD 5770 simple slot
YouTube rehausse la durée maximale à 15 minutes
Blu-ray : Verbatim lance ses premiers BD-R certifiés 6x
Une gamme d'accessoires Tron chez Monster Cable
La bêta d'Internet Explorer 9 prévue pour le mois de septembre
Le Nokia N8 sortirait fin septembre pour 469 euros
La Loppsi fera sa rentrée le 7 septembre
IBM ouvre un centre dédié au cloud dans une université polonaise
Youtube : bientôt des vidéos de 15 minutes ?
La BlackPad sera-t-elle la première tablette tactile de RIM ?
Haut de page