Distributeurs de billets : 15 minutes suffisent au piratage

Selon un rapport publié par Positive Technologies, il suffirait en moyenne de seulement 15 minutes pour pirater la majorité des distributeurs automatiques de billets de banque.
La société Positive Technolgies a récemment mené une enquête portant sur 26 distributeurs de billets (DAB) et mis en lumière des défauts majeurs de sécurité. Le bilan est consternant : il ne faudrait globalement que 15 minutes pour pirater un DAB et réussir à le vider de tous les billets qu'il contient.
Positive Technologies a testé différents modèles proposés par les fabricants NCR, GRGBanking et Diebold Nixdorf. Les chances de réussir le piratage dépendent de plusieurs facteurs, et certains modèles se montrent malgré tout plus coriaces que d'autres.
Ainsi, si le pirate dispose d'un accès au réseau sur lequel le DAB est connecté, il aura 85% de chances de pouvoir le dévaliser. Dans ce cas précis, les failles peuvent être nombreuses : manque de chiffrement, authentification faible, mauvaise configuration matérielle...
Positive Technologies donne un exemple dans lequel le DAB était connecté au réseau bancaire via un modem GSM dont les données ont été interceptées assez facilement à l'aide d'une fausse station de base. Le routeur du DAB était alors facilement accessible via Telnet avec le compte root/root.
Dans la majorité des cas, les attaques misent sur la technique Black Box, soit la connexion d'un mini PC au coffre dans le but de lui envoyer des commandes directes. Cela nécessite un accès physique aux interfaces de connexion, et donc parfois l'usage de la force pour percer l'enveloppe métallique du DAB.
La propagation d'un malware est également une solution, tout comme l'exploitation de failles de type zero day qui ne sont plus corrigées sur Windows XP, l'OS de Microsoft restant encore utilisé dans une grande majorité des DAB malgré l'arrêt de son support.
Et le danger n'est pas limité qu'à la Banque elle-même, puisque les cartes bancaires des utilisateurs peuvent être également piratées depuis un DAB compromis : sur les 26 appareils testés, aucun ne proposait de sécurité logique interne pour sécuriser les données échangées entre le lecteur de carte et le système principal, il est donc assez simple d'envisager la récupération de données critiques.
-
A son tour, le groupe Qualcomm fait évoluer son système de charge filaire Quick Charge pour lui permettre de supporter des charges rapides de 100W et plus.
-
Ce ne sera que le 19 juin prochain que le Find X d'Oppo sera officiellement présenté au monde, mais en attendant, les détails affluent sur le terminal qui s'annonce particulièrement innovant.
Vos commentaires Page 1 / 2
Et aussi, de quoi être le plus riche de la prison (à plus ou moins long terme !)
Premium
Le plus important est toujours de trouver le bon moment pour s'arrêter
Tu sembles avoir une certaine expérience
Clair que si on file l'admin et la sécu à des branques....
Premium
Chut !!!
Ou, est-ce qu'un DAB peut daber ?
Et peut-être que les pirates dabent devant les DAB.
Justement le problème est que les banques françaises ne veulent pas s'occuper des DAB.
J'ai travaillé dans des banques sur ce sujet, et j'ai vu ce qui se pratique. Il y a toujours des décideurs nuls en informatiques, qui ont pour seul objectif de prendre le moins de responsabilités possibles. Alors, ils achètent du matériel américain (NCR) ou allemand (Nixdorf) tout prêt, qui coûte une fortune, et qui n'est pas fiable et mal sécurisé. Au lieu de ça, il pourrait avoir une petite équipe d'informaticiens français qui fasse le travail beaucoup plus proprement, et au final, cela leur reviendrait beaucoup moins cher.
Mais, les décideurs informatiques sont corrompus jusqu'à la moelle. Ils embauchent en CDI des pistonnés, et à la journée ceux qui sont présentés par les sociétés de service qui leur donnent le plus de pots de vin, sans parler des quotas pour les minorités et les stagiaires. Tout le système de management informatique français est largement pourri, et mène donc à ce genre de problème de DAB, et d'autres.