Distributeurs de billets : 15 minutes suffisent au piratage

Le par  |  12 commentaire(s)
dab

Selon un rapport publié par Positive Technologies, il suffirait en moyenne de seulement 15 minutes pour pirater la majorité des distributeurs automatiques de billets de banque.

La société Positive Technolgies a récemment mené une enquête portant sur 26 distributeurs de billets (DAB) et mis en lumière des défauts majeurs de sécurité. Le bilan est consternant : il ne faudrait globalement que 15 minutes pour pirater un DAB et réussir à le vider de tous les billets qu'il contient.

dab

Positive Technologies a testé différents modèles proposés par les fabricants NCR, GRGBanking et Diebold Nixdorf. Les chances de réussir le piratage dépendent de plusieurs facteurs, et certains modèles se montrent malgré tout plus coriaces que d'autres.

DAB

Ainsi, si le pirate dispose d'un accès au réseau sur lequel le DAB est connecté, il aura 85% de chances de pouvoir le dévaliser. Dans ce cas précis, les failles peuvent être nombreuses : manque de chiffrement, authentification faible, mauvaise configuration matérielle...

Positive Technologies donne un exemple dans lequel le DAB était connecté au réseau bancaire via un modem GSM dont les données ont été interceptées assez facilement à l'aide d'une fausse station de base. Le routeur du DAB était alors facilement accessible via Telnet avec le compte root/root.

Dab 2

Dans la majorité des cas, les attaques misent sur la technique Black Box, soit la connexion d'un mini PC au coffre dans le but de lui envoyer des commandes directes. Cela nécessite un accès physique aux interfaces de connexion, et donc parfois l'usage de la force pour percer l'enveloppe métallique du DAB.

La propagation d'un malware est également une solution, tout comme l'exploitation de failles de type zero day qui ne sont plus corrigées sur Windows XP, l'OS de Microsoft restant encore utilisé dans une grande majorité des DAB malgré l'arrêt de son support.

Et le danger n'est pas limité qu'à la Banque elle-même, puisque les cartes bancaires des utilisateurs peuvent être également piratées depuis un DAB compromis : sur les 26 appareils testés, aucun ne proposait de sécurité logique interne pour sécuriser les données échangées entre le lecteur de carte et le système principal, il est donc assez simple d'envisager la récupération de données critiques.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2041500
de quoi devenir riche asez rapidement apres avoir obtenu son diplome en piratage informatique
Le #2041502
belaid12002 a écrit :

de quoi devenir riche asez rapidement apres avoir obtenu son diplome en piratage informatique


Et aussi, de quoi être le plus riche de la prison (à plus ou moins long terme !)
Le #2041508
GGpog a écrit :

belaid12002 a écrit :

de quoi devenir riche asez rapidement apres avoir obtenu son diplome en piratage informatique


Et aussi, de quoi être le plus riche de la prison (à plus ou moins long terme !)


Le plus important est toujours de trouver le bon moment pour s'arrêter
Le #2041509
"Le routeur du DAB était alors facilement accessible via Telnet avec le compte root/root."


Le #2041510
saepho a écrit :

GGpog a écrit :

belaid12002 a écrit :

de quoi devenir riche asez rapidement apres avoir obtenu son diplome en piratage informatique


Et aussi, de quoi être le plus riche de la prison (à plus ou moins long terme !)


Le plus important est toujours de trouver le bon moment pour s'arrêter


Tu sembles avoir une certaine expérience
Le #2041513
skynet a écrit :

"Le routeur du DAB était alors facilement accessible via Telnet avec le compte root/root."




Clair que si on file l'admin et la sécu à des branques....
Le #2041529
skynet a écrit :

saepho a écrit :

GGpog a écrit :

belaid12002 a écrit :

de quoi devenir riche asez rapidement apres avoir obtenu son diplome en piratage informatique


Et aussi, de quoi être le plus riche de la prison (à plus ou moins long terme !)


Le plus important est toujours de trouver le bon moment pour s'arrêter


Tu sembles avoir une certaine expérience


Chut !!!
Le #2041531
Et c'est QUI, au final, qui paye les pots cassés ? ? ? ? ? Il est plus qu'évident que les Banques nous ponctionnent, via des frais que personne ne peut comprendre, les pertes qu'elles subissent, c'est plus que logiques, sauf pour nous bien entendu.....
Le #2041540
Est-ce qu'on peut daber un DAB ?
Ou, est-ce qu'un DAB peut daber ?
Et peut-être que les pirates dabent devant les DAB.
Le #2041551
lebonga a écrit :

skynet a écrit :

"Le routeur du DAB était alors facilement accessible via Telnet avec le compte root/root."




Clair que si on file l'admin et la sécu à des branques....


Justement le problème est que les banques françaises ne veulent pas s'occuper des DAB.

J'ai travaillé dans des banques sur ce sujet, et j'ai vu ce qui se pratique. Il y a toujours des décideurs nuls en informatiques, qui ont pour seul objectif de prendre le moins de responsabilités possibles. Alors, ils achètent du matériel américain (NCR) ou allemand (Nixdorf) tout prêt, qui coûte une fortune, et qui n'est pas fiable et mal sécurisé. Au lieu de ça, il pourrait avoir une petite équipe d'informaticiens français qui fasse le travail beaucoup plus proprement, et au final, cela leur reviendrait beaucoup moins cher.

Mais, les décideurs informatiques sont corrompus jusqu'à la moelle. Ils embauchent en CDI des pistonnés, et à la journée ceux qui sont présentés par les sociétés de service qui leur donnent le plus de pots de vin, sans parler des quotas pour les minorités et les stagiaires. Tout le système de management informatique français est largement pourri, et mène donc à ce genre de problème de DAB, et d'autres.
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme