Sécurité
Les distributeurs de billets, cibles privilégiées des criminels
Share this post:
En Inde, 13,5 millions de dollars ont été volés à une banque en 2018, suite à une attaque coordonnée de ses distributeurs de billets. Plus près de nous, 60 000 euros ont été subtilisés en Moselle en avril 2019. Les distributeurs automatiques de billets sont ciblés par les criminels, qui exploitent une des technologies qu’ils utilisent : le standard CEN/XFS (eXtensions for Financial Services, une norme pour les applications bancaires et notamment les distributeurs de billets).
Nous les connaissons sous les noms de DAB (Distributeur Automatique de Billets), GAB (Guichet Automatique Bancaire) ou encore ATM (Automated Teller Machine) en anglais. Ce sont les distributeurs de billets et autres guichets automatiques que nous retrouvons dans les banques, magasins et espaces publics.
Ces distributeurs existent depuis plus de 50 ans. Plus de 3 millions sont en fonctionnement dans le monde, chacun pouvant contenir un maximum de 10 000 billets, soit jusqu’à 150 000 euros de cash. Une cible de choix pour les criminels, qui s’intéressent de plus en plus à ces dispositifs.
Leur sécurisation est d’autant plus complexe que certains ne se limitent pas seulement à la distribution de billets (DAB), mais proposent d’autres services (GAB) : consultation des comptes, dépôt de cash ou chèques, opérations de virements, paiement de factures, rechargement de forfaits mobiles, etc. Cette évolution progressive se traduit par de nouvelles possibilités d’exploitations malveillantes.
Anatomie d’un DAB
Techniquement, un DAB/GAB est un PC relié à un écran (parfois tactile), une imprimante, un lecteur de carte, un clavier spécifique et des capteurs (caméra, lumière, présence, ouverture, etc.), sans oublier un coffre – le « cash dispenser » – qui contient les billets. Le tout fonctionne sous une version adaptée de Windows. Windows 7, voire Windows XP pour les modèles les plus anciens.
Une suite applicative est intégrée. C’est elle qui permet d’effectuer les transactions, de proposer des services spécifiques, d’assurer la surveillance du distributeur, d’en gérer la maintenance et de faire remonter les journaux à la banque. Pour dialoguer avec les serveurs de l’établissement bancaire, une connexion est présente : filaire (ADSL, Fibre) ou sans-fil (3G, 4G).
Cette suite applicative s’appuie sur le standard CEN/XFS (eXtensions for Financial Services) qui permet de standardiser les interactions avec le matériel, et ainsi de rendre le logiciel portable entre différentes marques de distributeurs.
CEN/XFS, la porte d’entrée des pirates
Le malfaiteur ne va pas chercher à forcer le coffre. En effet, ce dernier, en cas de tentative d’ouverture, détruira les billets en les imprégnant d’encre. Il va tout simplement demander au distributeur de lui donner de l’argent en utilisant une commande XFS. C’est la technique du « JackPotting ».
Le standard CEN/XFS propose une API permettant de lancer des ordres. Elle est simple, standardisée et sans authentification. La fonction WFS_CMD_CDM_DISPENSE permet ainsi de lancer la distribution d’argent. Un criminel disposant d’un accès physique à la machine pourra par ce biais s’adresser au coffre pour lui demander une somme d’argent.
Ce type d’attaque peut s’effectuer avec un minimum de code (une cinquantaine de lignes seulement), en utilisant des fonctions XFS documentées publiquement. Il fonctionnera avec tous les distributeurs conformes au standard. Le pirate est certes limité à 50 billets par opération, mais à raison d’une vingtaine de secondes pour effectuer un retrait, il pourra vider un distributeur en un peu plus d’une heure.
L’accès au système reste nécessaire… mais pas impossible
Pour lancer une commande XFS, l’accès au système d’exploitation du distributeur est requis. Il peut s’effectuer de deux façons différentes.
Tout d’abord via le routeur Internet auquel l’appareil est connecté. Dans certains cas, un accès Wifi demeuré actif permettra d’accéder au réseau local de la machine. Le réseau peut aussi être accessible en Ethernet. Dans les deux cas, il sera possible d’intercepter les flux de données, d’exploiter une faille logicielle (patch manquant, vulnérabilité 0-day) ou humaine (mot de passe trop faible).
Seconde méthode, l’accès physique au PC. Les pare-feux et logiciels de protection auront bien du mal à résister aux attaques des pirates si ces derniers ont accès physiquement au PC. Plusieurs méthodes peuvent être utilisées :
- crochetage de la serrure verrouillant la cage de protection du PC ;
- déblocage de la serrure en passant par l’un des trous d’aération aménagés pour le PC ;
- utilisation d’une clé achetée sur Internet pour les DAB/GAB dont la serrure d’usine n’a pas été changée.
En cas d’accès physique au PC, les malfaiteurs pourront démonter son disque dur, afin de l’installer sur une machine tierce le temps de désactiver les protections présentes et d’installer leurs malwares.
Les contre-mesures efficaces pour se protéger des attaques
La protection d’un distributeur de billets est tout d’abord physique :
- les prises et câbles réseau ne doivent pas être accessibles et il faut penser à changer la serrure d’usine du DAB/GAB ;
- le chiffrement de l’unité de stockage du PC permettra de rendre les données inaccessibles si le disque est connecté à une autre machine ;
- le réseau se doit d’être parfaitement sécurisé, en veillant par exemple à ce que le module Wifi du routeur ne soit pas actif.
Sur le front du logiciel, le durcissement du système passe par :
- une installation simplifiée au maximum, afin de réduire la surface d’attaque ;
- une application des mises à jour, de l’OS et des applications ;
- l’installation d’un pare-feu et d’un antivirus ;
- le chiffrement de l’ensemble des communications.
Pour compléter ce dispositif, un outil de whitelisting d’applications (liste d’applications autorisées) comme Windows AppLocker ou Symantec Critical System Protection peut être utilisé. Ces derniers permettent de bloquer tout exécutable qui n’aurait pas été préalablement autorisé. Imparable ! Couplée à un chiffrement des disques (qui évitera une possible désactivation de cette sécurité par accès physique) cette technologie offre un niveau avancé de protection.
Il convient dans le même temps de surveiller l’émergence de nouvelles attaques, via une veille active. Nous pouvons par exemple citer les faux dépôts d’argent, le vol de données bancaires ou encore la connexion directe du « cash dispenser » à un PC tiers.
En savoir plus : https://www.ibm.com/fr-fr/security
Article publié dans Revue Banque.
IBM, avec ses modèles phares Granite, a été désignée comme « performer » dans le rapport de Forrester « The Forrester Wave™ : modèles de fondation d’IA pour le langage, Q2 2024 »
Alors que les entreprises passent de l’expérimentation de l’intelligence artificielle générative (IA générative) à la production, elles recherchent la bonne option en matière de modèles de fondation composée d’un mélange optimal d’attributs qui permettent d’obtenir une IA générative fiable, performante et rentable. Les entreprises reconnaissent qu’elles ne peuvent pas faire évoluer l’IA générative avec des […]
Intégration par design : la clé de la réussite de la transformation cloud
La transformation cloud est un processus complexe qui nécessite une planification méticuleuse et une exécution soignée pour réussir. Alors que les organisations se lancent dans la transformation du cloud, elles se concentrent souvent sur la migration des applications et des données vers le cloud, négligeant un aspect critique : l’intégration. L’un des défis majeurs que […]
Simplifier les déclarations liées à la CSRD grâce aux nouvelles fonctionnalités d’IBM®Envizi™
IBM a le plaisir d’annoncer la prise en compte de la directive européenne (CSRD) dans le module « sustainability reporting manager » d’IBM® Envizi™. Cette considération aidera les entreprises à répondre aux exigences de reporting de la directive européenne (CSRD). La CSRD impose aux entreprises de fournir des informations et des indicateurs définis via les […]