{"id":2354,"date":"2014-01-28T10:44:28","date_gmt":"2014-01-28T10:44:28","guid":{"rendered":"http:\/\/kasperskydaily.com\/france\/?p=2354"},"modified":"2020-02-26T15:45:52","modified_gmt":"2020-02-26T15:45:52","slug":"les-ram-scrapers-et-autres-malwares-ciblant-les-points-de-vente","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/les-ram-scrapers-et-autres-malwares-ciblant-les-points-de-vente\/2354\/","title":{"rendered":"Les « RAM scrapers » et autres malwares ciblant les points de vente"},"content":{"rendered":"

Alors qu\u2019il semble que le vol de donn\u00e9es n\u2019a touch\u00e9 que les \u00c9tats-Unis, il y a de grandes chances pour que vous sachiez d\u00e9j\u00e0 que la c\u00e9l\u00e8bre cha\u00eene de grands magasins Target, a subi une \u00e9norme violation de donn\u00e9es<\/a> \u00e0 la fin de l\u2019ann\u00e9e derni\u00e8re. Les informations de carte bancaire de pr\u00e8s de 40 millions de consommateurs ainsi que les informations personnelles de plus de 70 millions de personnes ont \u00e9t\u00e9 expos\u00e9es pendant cette violation qui a dur\u00e9 pr\u00e8s d\u2019un mois \u2013 profitant ainsi des f\u00eates de fin d\u2019ann\u00e9e \u2013 et affectant presque tous les magasins Target situ\u00e9s aux \u00c9tats-Unis.<\/p>\n

On pourrait penser que pour voler les informations de carte bancaire de centaines de millions de clients Target, les pirates auraient besoin de compromettre le syst\u00e8me de paiement ou les serveurs corporatifs de Target, afin de voler en masse toutes les donn\u00e9es d\u2019un m\u00eame endroit. \u00c9videmment, ce serait une bonne mani\u00e8re de voler des quantit\u00e9s massives de donn\u00e9es de paiement \u00e0 la c\u00e9l\u00e8bre enseigne mais, bizarrement, ce n\u2019est pas ce qu\u2019il semble s\u2019\u00eatre produit dans le cas de Target.<\/p>\n

D\u2019ailleurs, le syst\u00e8me de paiement de Target n\u2019avait presque rien \u00e0 voir avec la violation. Les responsables de l\u2019attaque ont d\u00e9ploy\u00e9 un type sp\u00e9cial de malware qui cible les lecteurs de carte et les caisses \u2013 \u00e9galement connus sous le nom de malware de point de vente (PDV).<\/p>\n

Pour \u00eatre plus clair, les attaquants ont certainement r\u00e9ussi \u00e0 rentrer dans les serveurs de paiement de Target. N\u00e9anmoins, le probl\u00e8me est que lorsque les donn\u00e9es de la carte arrivent aux serveurs, les informations ont d\u00e9j\u00e0 \u00e9t\u00e9 chiffr\u00e9es<\/a>. Cependant, ces informations doivent \u00eatre d\u00e9chiffr\u00e9es pendant un court instant afin d\u2019autoriser le paiement. \u00c0 ce moment, la caisse elle-m\u00eame \u2013 ou un serveur rattach\u00e9 au syst\u00e8me \u2013 stocke les donn\u00e9es de paiement en texte clair dans sa m\u00e9moire RAM.<\/p>\n

C\u2019est l\u00e0 que le malware de PDV rentre en jeu. Les malwares de PDV sont cr\u00e9\u00e9s pour obtenir ces donn\u00e9es d\u00e9chiffr\u00e9es stock\u00e9es dans la m\u00e9moire RAM et filtrer les informations de paiement telles que les num\u00e9ros de carte, les noms d\u2019utilisateurs, les adresses, les codes de s\u00e9curit\u00e9 et toutes les autres donn\u00e9es de paiement. Ce type de malware connus sous le nom de \u00ab\u00a0RAM scrapers\u00a0\u00bb<\/a> (litt\u00e9ralement, \u00ab\u00a0gratteurs de RAM\u00a0\u00bb) existe depuis au moins six ans.<\/p>\n

Dans le cas de Target, il y a de grandes chances pour que les pirates aient envoy\u00e9 leur malware de PDV depuis un serveur central connect\u00e9 aux points de vente ou sur les serveurs o\u00f9 le processus d\u2019autorisation a lieu. Ils auraient sinon eu \u00e0 installer leur malware sur chaque terminal PDV dans tous les magasins Target, ce qui semble assez improbable.<\/p>\n

Un chercheur de Seculert<\/a> qui a examin\u00e9 l\u2019incident a annonc\u00e9 que les pirates avaient compromis l\u2019infrastructure des points de vente \u00e0 travers une machine du r\u00e9seau infect\u00e9e. \u00c0 partir de l\u00e0, ils auraient install\u00e9 une variante du c\u00e9l\u00e8bre malware BlackPOS, que vous pouvez acheter tr\u00e8s facilement en ligne sur des forums de piratage (en supposant que vous sachiez o\u00f9 trouver ces derniers).<\/p>\n

Selon un avertissement publi\u00e9 par une coalition qui inclut le d\u00e9partement de la s\u00e9curit\u00e9 int\u00e9rieure am\u00e9ricain, les services secrets am\u00e9ricains, le NCCIC (National Cybersecurity and Communications Integration Center), le FS-ISAC (Financial Sector Information Sharing and Analysis Center) et les partenaires d\u2019iSIGHT, BlackPOS est facile \u00e0 d\u00e9tecter car son code source a \u00e9t\u00e9 rendu public r\u00e9cemment.<\/p>\n

BlackPOS n\u2019est cependant pas le seul malware de PDV et Target est loin d\u2019\u00eatre l\u2019unique d\u00e9taillant faisant face \u00e0 cette menace.<\/div>\n

BlackPOS n\u2019est cependant pas le seul malware de PDV et Target est loin d\u2019\u00eatre l\u2019unique d\u00e9taillant faisant face \u00e0 cette menace. D\u2019ailleurs, le prestigieux grand magasin, Nieman Marcus, et l\u2019enseigne Michael ont d\u00e9clar\u00e9 qu\u2019ils avaient \u00e9galement \u00e9t\u00e9 victimes d\u2019une attaque similaire. Certains ont sugg\u00e9r\u00e9 que les trois attaques \u00e9taient li\u00e9es mais il ne s\u2019agit que de sp\u00e9culations.<\/p>\n

L\u2019avertissement de la coalition<\/a> annonce que les malwares de PDV sont sur le point d\u2019exploser. La plupart des nouveaux malwares \u2013 selon eux \u2013 seront de simples modifications de chevaux de Troie qui existent<\/a> d\u00e9j\u00e0, tels que Zeus. Alors que les malwares de PDV sont de plus en plus accessibles aux criminels et faciles \u00e0 d\u00e9tecter par les forces de l\u2019ordre, les d\u00e9veloppeurs de ce type de malwares (comme les d\u00e9veloppeurs de chevaux de Troie l\u2019ont fait avant eux) deviendront des chevaux de Troie plus difficiles \u00e0 d\u00e9tecter.<\/p>\n

Le d\u00e9partement de s\u00e9curit\u00e9 int\u00e9rieur et autres ont remarqu\u00e9 une augmentation des publicit\u00e9s (dans diff\u00e9rentes langues) pour les malwares de PDV dans les forums de d\u00e9veloppeurs freelance. En d\u2019autres termes, les criminels postent des annonces offrant de payer les d\u00e9veloppeurs qui accepteraient de cr\u00e9er des \u00ab\u00a0RAM scrapers\u00a0\u00bb pour eux. Ils affirment qu\u2019une augmentation similaire des malwares de PDV s\u2019est produite en 2010. Au d\u00e9but de cette ann\u00e9e, les projets de malwares de PDV valaient entre 425 et 2500 dollars. \u00c0 la fin de 2010, leur valeur est mont\u00e9e \u00e0 plus de 6500 dollars et la popularit\u00e9 du malware continue d\u2019augmenter.<\/p>\n

De plus, ils pensent que la propagation des malwares de PDV sera rendue possible gr\u00e2ce \u00e0 des chevaux de Troie sp\u00e9cialis\u00e9s dans le vol d\u2019identifiants et qui disposent des codes sources accessibles qui peuvent \u00eatre facilement modifi\u00e9s pour r\u00e9aliser des op\u00e9rations de grattage de RAM.<\/p>\n

De plus, ils pensent que la propagation des malwares de PDV sera rendue possible gr\u00e2ce \u00e0 des chevaux de Troie sp\u00e9cialis\u00e9s dans le vol d\u2019identifiants et qui disposent des codes sources accessibles qui peuvent \u00eatre facilement modifi\u00e9s pour r\u00e9aliser des op\u00e9rations de grattage de RAM.<\/div>\n

\u00ab\u00a0Les codes sources des malwares sp\u00e9cialis\u00e9s en vol d\u2019identifiants qui sont diffus\u00e9s publiquement pourraient fournir les bases \u00e0 ceux qui n\u2019ont pas les capacit\u00e9s de cr\u00e9er un nouveau type de malware, ou pour ceux qui cherchent \u00e0 utiliser leurs cr\u00e9ations pr\u00e9c\u00e9dentes afin d\u2019optimiser l\u2019efficacit\u00e9 de leur syst\u00e8me\u00a0\u00bb, explique l\u2019avertissement. \u00ab\u00a0L\u2019absence d\u2019obstacles pourrait mener \u00e0 la vente de plus de types de malwares de PDV et donc \u00e0 une \u00e9ventuelle baisse des prix et \u00e0 un plus grand nombre d\u2019utilisateurs.\u00a0\u00bb<\/p>\n

Le point suivant est essentiel : pour chaque facette de la cybercriminalit\u00e9, il existe un paradigme. Les attaques sont d\u2019abord nouvelles, difficiles \u00e0 r\u00e9aliser et \u00e0 r\u00e9pliquer. Ensuite, ces attaques deviennent plus faciles, ce qui donnent aux pirates les plus dou\u00e9s l\u2019habilit\u00e9 de les r\u00e9aliser. En outre, ces pirates commencent \u00e0 cr\u00e9er des kits d\u2019attaque facilement utilisables qui rendent la cybercriminalit\u00e9 accessible \u00e0 presque tout le monde dot\u00e9 d\u2019un clavier et de mauvaises intentions.<\/p>\n

Encore une situation \u00e0 laquelle vous ne pouvez pas faire grand chose. Vous ne pouvez \u00e9videmment pas rentrer dans votre supermarch\u00e9 et remplacer toutes les machines Windows XP vuln\u00e9rables qui g\u00e8rent son infrastructure de PDV par un syst\u00e8me plus moderne et plus s\u00e9curis\u00e9. Vous ne pouvez pas non plus faire grand chose pour vous assurer que chaque magasin suit les r\u00e8gles de s\u00e9curit\u00e9 ou pour vous assurer que chaque machine de leur r\u00e9seau est s\u00e9curis\u00e9e.<\/p>\n

L\u2019autre probl\u00e8me est qu\u2019il existe probablement de nombreuses failles dont nous n\u2019entendrons jamais parler, que cela soit parce que la compagnie victime est malhonn\u00eate ou mal inform\u00e9e (dans le cas par exemple o\u00f9 ils refuseraient d\u2019admettre ou qu\u2019ils ne r\u00e9aliseraient pas qu\u2019une violation a eu lieu). Dans le cas de Target n\u00e9anmoins, ils ont r\u00e9agit assez rapidement et ont relativement bien g\u00e9r\u00e9 la situation. La plupart des banques ont publi\u00e9 des avertissements sur leur site Web afin de pr\u00e9venir leurs clients des risques, ce qui nous a donn\u00e9 l\u2019opportunit\u00e9 de v\u00e9rifier nos comptes et de remplacer nos cartes potentiellement compromises. Voici essentiellement ce que vous pouvez faire : lire l\u2019actualit\u00e9, surveiller le solde de votre compte et obtenir de nouvelles cartes si besoin est.<\/p>\n

\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

Alors qu\u2019il semble que le vol de donn\u00e9es n\u2019a touch\u00e9 que les \u00c9tats-Unis, il y a de grandes chances pour que vous sachiez d\u00e9j\u00e0 que la c\u00e9l\u00e8bre cha\u00eene de grands<\/p>\n","protected":false},"author":42,"featured_media":2355,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[686],"tags":[148,563,61,564,248],"class_list":{"0":"post-2354","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-malwares","9":"tag-point-de-vente","10":"tag-securite","11":"tag-target","12":"tag-violation-de-donnees"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/les-ram-scrapers-et-autres-malwares-ciblant-les-points-de-vente\/2354\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/malwares\/","name":"malwares"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/2354","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=2354"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/2354\/revisions"}],"predecessor-version":[{"id":14070,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/2354\/revisions\/14070"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/2355"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=2354"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=2354"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=2354"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}