13 mai 2016

Les experts de Kaspersky Lab découvrent pourquoi il est si facile de pirater un DAB

Pratiquement tous les distributeurs automatiques de billets (DAB) à travers le monde pourraient être victime d’un accès illégal et être dévalisés avec ou sans l’aide d’un malware.

Pratiquement tous les distributeurs automatiques de billets (DAB) à travers le monde pourraient être victime d’un accès illégal et être dévalisés avec ou sans l’aide d’un malware.

Selon une étude réalisée par les experts de Kaspersky Lab, cela s’explique par :

• l’utilisation répandue de logiciels obsolètes et non sécurisés ;

• des erreurs dans la configuration réseau ;

• et un manque de sécurité physique pour les composants critiques du DAB.

Pendant de nombreuses années, la principale menace pour les clients et les exploitants des DAB a été les skimmers, des appareils spéciaux fixés à un distributeur afin de pirater les données enregistrées sur les pistes magnétiques des cartes bancaires. Toutefois, avec l’évolution des techniques des malfaiteurs, les DAB sont dorénavant exposés à davantage de dangers.

En 2014, les chercheurs de Kaspersky Lab ont découvert Tyupkin, l’un des premiers exemples de malware connu ciblant les DAB puis, en 2015, les experts de la société ont mis au jour le gang Carbanak qui était capable, entre autres, de dévaliser des DAB en piratant l’infrastructure des banques. Ces deux types d’attaques ont été rendus possibles en raison de l’exploitation de plusieurs faiblesses courantes dans la technologie des DAB, ainsi que dans l’infrastructure sur laquelle ils reposent. Or ce n’est que la partie visible de l’iceberg.

Afin de dresser la liste de tous les problèmes de sécurité touchant les DAB, des spécialistes des tests de pénétration chez Kaspersky Lab ont réalisé une étude à partir d’investigations sur des attaques réelles et des résultats d’audits de sécurité effectués par plusieurs banques internationales.

Problèmes logiciels

A l’issue de l’étude, les experts ont démontré que les attaques de malware contre les DAB étaient possibles à cause de deux principaux problèmes de sécurité :

• Tous les DAB contiennent en fait un PC doté d’un système d’exploitation très ancien, tel que Windows XP, ce qui les rend vulnérables à une infection par des codes informatiques malveillants et à des attaques exploitant des vulnérabilités.

• Dans la grande majorité des cas, le logiciel spécial qui permet au PC du DAB d’interagir avec l’infrastructure et le matériel de la banque, pour traiter les espèces et les cartes de crédit, est dérivé du standard XFS. Il s’agit d’une technologie assez ancienne et non sécurisée, créée à l’origine afin de normaliser le logiciel des DAB, de sorte que celui-ci puisse fonctionner sur tout équipement, indépendamment du fabricant. Le problème est que XFS n’exige aucune autorisation pour les commandes qu’il traite, c’est-à-dire que toute application installée ou lancée sur le DAB peut adresser des commandes à tout autre composant matériel de la machine, notamment le lecteur de carte et le distributeur proprement dit. Si un malware réussit à infecter un DAB, il accède à une capacité de contrôle quasi illimité de la machine : il peut ainsi transformer le clavier de saisie du code et le lecteur de carte en un skimmer intégré ou tout simplement distribuer la totalité de l’argent que contient la machine, en réponse à une commande du pirate.

Sécurité physique

Dans de nombreux cas observés par les chercheurs de Kaspersky Lab, les criminels n’ont même pas besoin d’utiliser un malware pour pirater le DAB ou le réseau de la banque auquel il est rattaché. Cela est dû au manque de sécurité physique des DAB eux-mêmes, un problème très courant sur ces équipements. Très souvent, les DAB sont construits et installés de telle façon qu’un tiers peut facilement accéder au PC qu’il renferme ou au câble réseau reliant la machine à Internet. Moyennent un accès physique même partiel au DAB, des malfaiteurs peuvent ainsi potentiellement :

• installer un microcontrôleur spécialement programmé (une « boîte noire ») à l’intérieur du DAB, rendant ce dernier accessible à distance pour des attaques ;

• reconnecter le DAB à un faux centre de traitement.

Un centre de traitement factice est un logiciel qui traite les données de paiement. Il est identique à celui de la banque à ceci près qu’il ne lui appartient pas. Une fois le DAB reconnecté à un faux centre de traitement, les pirates peuvent lui adresser n’importe quelle commande et le DAB leur obéira.

La connexion entre un DAB et son (vrai) centre de traitement peut être protégée de diverses manières, par exemple au moyen d’un VPN matériel ou logiciel, d’un cryptage SSL/TLS, d’un firewall ou d’une authentification MAC, via les protocoles xDC. Cependant, ces mesures ne sont pas souvent mises en œuvre. Lorsqu’elles sont présentes, elles sont fréquemment mal configurées et même vulnérables, ce qui risque de n’être découvert qu’à l’occasion d’un audit de sécurité du DAB. En conséquence, les criminels n’ont pas besoin de manipuler le matériel : il leur suffit d’exploiter les failles de sécurité dans les communications réseau entre le DAB et l’infrastructure bancaire.

Comment empêcher les DAB d’être dévalisés

« Les résultats de notre étude révèlent que même si les fabricants s’efforcent désormais de renforcer la sécurité des DAB, de nombreuses banques utilisent encore de vieux modèles non sécurisés, ce qui les rend vulnérables face aux criminels attaquant ces équipements. C’est aujourd’hui une réalité qui engendre des pertes financières considérables pour les établissements et leurs clients. De notre point de vue, cela résulte d’une idée fausse qui a la vie dure, celle qui voudrait que les cyberattaques ne visent que la banque en ligne sur Internet. Non seulement les cybercriminels s’intéressent aussi aux DAB mais ils voient de plus en plus l’intérêt d’en exploiter les vulnérabilités car des attaques directes contre ces équipements représentent le plus court chemin entre eux et l’argent liquide », commente Olga Kochetova, experte en sécurité au sein du département Tests de pénétration de Kaspersky Lab.

Bien que les problèmes de sécurité énumérés plus haut touchent probablement un grand nombre de DAB à travers le monde, cela ne veut pas dire que la situation soit irrémédiable. Leurs fabricants peuvent réduire les risques d’attaques sur les distributeurs en appliquant les mesures suivantes :

• Tout d’abord, il est nécessaire de revoir le standard XFS en mettant l’accent sur la sécurité, notamment en introduisant une authentification à deux facteurs entre la machine et son logiciel légitime. Cela contribuera à limiter le risque de retraits illicites opérés par des chevaux de Troie et des pirates souhaitant prendre un contrôle direct du distributeur.

• Ensuite, il faut mettre en mettre en œuvre une procédure d’authentification spécifique pour le distributeur afin d’éviter le risque d’une attaque via un faux centre de traitement.

• Enfin, il est indispensable de posséder une protection cryptographique et un contrôle d’intégrité des données transmises entre tous les composants matériels et le PC se trouvant l’intérieur du DAB.

Pour en savoir plus sur les problèmes de sécurité des DAB modernes, lire l’article correspondant d’Olga Kochetova sur Securelist.com.

A propos de Kaspersky Lab

Kaspersky Lab est une société de cybersécurité mondiale fondée en 1997. L’expertise de Kaspersky Lab en matière de « Threat Intelligence » et sécurité informatique vient perpétuellement enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky Lab comprend la protection avancée et complète des terminaux et un certain nombre de solutions et de services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky Lab aident plus de 400 millions d'utilisateurs et 270 000 clients à protéger ce qui compte le plus pour eux.

Pour en savoir plus : www.kaspersky.fr

Pour en savoir plus :www.kaspersky.com/fr/

Pour plus d’informations sur l’actualité virale :http://www.securelist.com

Salle de presse virtuelle Kaspersky Lab :http://newsroom.kaspersky.eu/fr/

 

Articles related to Récompenses et Certifications