Distributeurs de billets : 15 minutes suffisent au piratage

Le par Mathieu M.  |  12 commentaire(s)
dab

Selon un rapport publié par Positive Technologies, il suffirait en moyenne de seulement 15 minutes pour pirater la majorité des distributeurs automatiques de billets de banque.

La société Positive Technolgies a récemment mené une enquête portant sur 26 distributeurs de billets (DAB) et mis en lumière des défauts majeurs de sécurité. Le bilan est consternant : il ne faudrait globalement que 15 minutes pour pirater un DAB et réussir à le vider de tous les billets qu'il contient.

dab

Positive Technologies a testé différents modèles proposés par les fabricants NCR, GRGBanking et Diebold Nixdorf. Les chances de réussir le piratage dépendent de plusieurs facteurs, et certains modèles se montrent malgré tout plus coriaces que d'autres.

DAB

Ainsi, si le pirate dispose d'un accès au réseau sur lequel le DAB est connecté, il aura 85% de chances de pouvoir le dévaliser. Dans ce cas précis, les failles peuvent être nombreuses : manque de chiffrement, authentification faible, mauvaise configuration matérielle...

Positive Technologies donne un exemple dans lequel le DAB était connecté au réseau bancaire via un modem GSM dont les données ont été interceptées assez facilement à l'aide d'une fausse station de base. Le routeur du DAB était alors facilement accessible via Telnet avec le compte root/root.

Dab 2

Dans la majorité des cas, les attaques misent sur la technique Black Box, soit la connexion d'un mini PC au coffre dans le but de lui envoyer des commandes directes. Cela nécessite un accès physique aux interfaces de connexion, et donc parfois l'usage de la force pour percer l'enveloppe métallique du DAB.

La propagation d'un malware est également une solution, tout comme l'exploitation de failles de type zero day qui ne sont plus corrigées sur Windows XP, l'OS de Microsoft restant encore utilisé dans une grande majorité des DAB malgré l'arrêt de son support.

Et le danger n'est pas limité qu'à la Banque elle-même, puisque les cartes bancaires des utilisateurs peuvent être également piratées depuis un DAB compromis : sur les 26 appareils testés, aucun ne proposait de sécurité logique interne pour sécuriser les données échangées entre le lecteur de carte et le système principal, il est donc assez simple d'envisager la récupération de données critiques.


  • Partager ce contenu :
Complément d'information

Vos commentaires Page 1 / 2

Trier par : date / pertinence
belaid12002 Hors ligne Vénéré avatar 2510 points
Le #2041500
de quoi devenir riche asez rapidement apres avoir obtenu son diplome en piratage informatique
Anonyme
Le #2041502
belaid12002 a écrit :

de quoi devenir riche asez rapidement apres avoir obtenu son diplome en piratage informatique


Et aussi, de quoi être le plus riche de la prison (à plus ou moins long terme !)
Le #2041508
GGpog a écrit :

belaid12002 a écrit :

de quoi devenir riche asez rapidement apres avoir obtenu son diplome en piratage informatique


Et aussi, de quoi être le plus riche de la prison (à plus ou moins long terme !)


Le plus important est toujours de trouver le bon moment pour s'arrêter
skynet Hors ligne VIP icone 76543 points
Le #2041509
"Le routeur du DAB était alors facilement accessible via Telnet avec le compte root/root."


skynet Hors ligne VIP icone 76543 points
Le #2041510
saepho a écrit :

GGpog a écrit :

belaid12002 a écrit :

de quoi devenir riche asez rapidement apres avoir obtenu son diplome en piratage informatique


Et aussi, de quoi être le plus riche de la prison (à plus ou moins long terme !)


Le plus important est toujours de trouver le bon moment pour s'arrêter


Tu sembles avoir une certaine expérience
lebonga Hors ligne VIP avatar 31000 points
Le #2041513
skynet a écrit :

"Le routeur du DAB était alors facilement accessible via Telnet avec le compte root/root."




Clair que si on file l'admin et la sécu à des branques....
Le #2041529
skynet a écrit :

saepho a écrit :

GGpog a écrit :

belaid12002 a écrit :

de quoi devenir riche asez rapidement apres avoir obtenu son diplome en piratage informatique


Et aussi, de quoi être le plus riche de la prison (à plus ou moins long terme !)


Le plus important est toujours de trouver le bon moment pour s'arrêter


Tu sembles avoir une certaine expérience


Chut !!!
Laserman49 Absent Vétéran avatar 1597 points
Le #2041531
Et c'est QUI, au final, qui paye les pots cassés ? ? ? ? ? Il est plus qu'évident que les Banques nous ponctionnent, via des frais que personne ne peut comprendre, les pertes qu'elles subissent, c'est plus que logiques, sauf pour nous bien entendu.....
Subutox Hors ligne VIP icone 7016 points
Le #2041540
Est-ce qu'on peut daber un DAB ?
Ou, est-ce qu'un DAB peut daber ?
Et peut-être que les pirates dabent devant les DAB.
billgatesanonym Hors ligne VIP icone 5067 points
Le #2041551
lebonga a écrit :

skynet a écrit :

"Le routeur du DAB était alors facilement accessible via Telnet avec le compte root/root."




Clair que si on file l'admin et la sécu à des branques....


Justement le problème est que les banques françaises ne veulent pas s'occuper des DAB.

J'ai travaillé dans des banques sur ce sujet, et j'ai vu ce qui se pratique. Il y a toujours des décideurs nuls en informatiques, qui ont pour seul objectif de prendre le moins de responsabilités possibles. Alors, ils achètent du matériel américain (NCR) ou allemand (Nixdorf) tout prêt, qui coûte une fortune, et qui n'est pas fiable et mal sécurisé. Au lieu de ça, il pourrait avoir une petite équipe d'informaticiens français qui fasse le travail beaucoup plus proprement, et au final, cela leur reviendrait beaucoup moins cher.

Mais, les décideurs informatiques sont corrompus jusqu'à la moelle. Ils embauchent en CDI des pistonnés, et à la journée ceux qui sont présentés par les sociétés de service qui leur donnent le plus de pots de vin, sans parler des quotas pour les minorités et les stagiaires. Tout le système de management informatique français est largement pourri, et mène donc à ce genre de problème de DAB, et d'autres.
icone Suivre les commentaires
Poster un commentaire
avatar
Anonyme
Anonyme avatar