IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un malware subtilise les données de près de 50 000 cartes bancaires dans 11 pays
ChewBacca agit depuis bientôt trois mois

Le , par Stéphane le calme
13 commentaires

42PARTAGES

1  0 
Un malware subtilise les données de près de 50 000 cartes bancaires dans 11 pays,
ChewBacca agit depuis bientôt trois mois

La division dédiée à la sécurité d'EMC a parlé sur son blog de ChewBacca, un malware dont la mission est de voler des données de cartes bancaires directement par le biais des terminaux de paiement.

RSA note que ces trois derniers mois, près de 50 000 données bancaires ont ainsi été subtilisées dans 11 pays, parmi lesquelles les États-Unis (qui ont essuyé la plupart des attaques, soit 32 % au total), l'Australie, le Canada et même la Russie. « Nos recherches indiquent qu'en ce moment 119 terminaux PoS parmi 45 commerçants montrent une évidence d'infection par ChewBacca » explique Uri Fleyder, le Directeur de la Cybercrime Research à RSA. Le logiciel malveillant cible les données stockées dans les bandes magnétiques des cartes, lesquelles sont enregistrées lors d'un passage à la machine.

ChewBacca installe un proxy client Tor sur les systèmes infectés et se connecte à une adresse .onion. Une fois installé sur la machine, le logiciel est capable d'extraire des informations spécifiques des processus en fonctionnement et les envoie à une autre adresse en .onion.

Le malware a également une composante keylogger qui enregistre les événements clavier ainsi que les changements des évènements focus. Les informations ainsi recueillies sont sauvegardées dans les fichiers temporaires de Windows sous le nom system.log. Même si ce logiciel n'est pas un exemple de discrétion sur Windows (il se retrouve dans le dossier « Démarrer » et se présente sous la forme d'un exécutable système -spoolsv.exe-), il n'en demeure pas moins que 20 % des logiciels antivirus ne le détectent toujours pas à ce jour, d'après Curt Wilson, analyste recherche senior chez Arbor Network.

Côté serveur il y a un panneau de configuration à partir duquel les hackers peuvent examiner les systèmes compromis et les données qui ont été subtilisées.

« Le cheval de Troie ChewBacca apparaît comme un simple malware, bien que, malgré un manque de sophistication et de mécanismes de défense, il ait réussi à voler des informations sur les cartes de paiement de plusieurs douzaines de vendeurs dans le monde en un peu plus de deux mois », explique RSA. Pour contrer la progression de ChewBacca, RSA propose d'informer les employés face aux menaces informatiques ou d'investir dans un chiffrement plus efficace pour renforcer la sécurité.

Les types de données que le malware collecte n'ont pas été précisés. Toutefois, Marco Preuss, directeur de l'équipe Global Research and Analysis de Kaspersky, pense qu'il s'agit probablement de données financières.

Source : blog RSA

Et vous ?

Que pensez-vous des moyens de défense proposés par RSA ? Pouvez-vous en suggérer d'autres ?

Une erreur dans cette actualité ? Signalez-nous-la !

13 commentaires
Commenter Signaler un problème
Calmacil
Avatar de Calmacil
Membre régulier https://www.developpez.com
Le 04/02/2014 à 14:09
Il serait intéressant de savoir si la France fait partie des pays touchés
2  0 
Mr_Exal
Avatar de Mr_Exal
Membre expert https://www.developpez.com
Le 04/02/2014 à 15:22
Il faut néanmoins souligner que le malware cible les données stockées dans les bandes magnétiques des cartes : ces dernières sont enregistrées lorsqu'elles sont passées dans la machine, tandis qu'un keylogger enregistre de son côté le code tapé sur le clavier numérique.
Source : http://www.clubic.com/antivirus-secu...s-11-pays.html

L'utilisation des bandes magnétiques en France étant peu répandue pour les commerçants français je ne pense pas que la France soit énormément touchée.
0  0 
Népomucène
Avatar de Népomucène
Modérateur https://www.developpez.com
Le 04/02/2014 à 15:32
Citation Envoyé par Calmacil Voir le message
Il serait intéressant de savoir si la France fait partie des pays touchés
Ah ben non. Comme le nuage de Tchernobyl, il s'est arrêté à la frontière
0  0 
I_Pnose
Avatar de I_Pnose
Membre chevronné https://www.developpez.com
Le 04/02/2014 à 17:18
Citation Envoyé par Calmacil Voir le message
Il serait intéressant de savoir si la France fait partie des pays touchés
La lecture des bandes magnétiques en France, on trouve ça dans les péages, certaines stations-services 24/7 et certains distributeurs de billets (toutes les machines qui avalent les cartes en somme). Par contre je n’ai jamais vu de commerçants utiliser ce genre de machine. Ca limite un tout petit peu le risque (et ça explique pourquoi l’Amérique est si touchée ; ils ne connaissent pas la carte à puce là-bas, contrairement aux cartes bancaires Européennes).
0  0 
PatteDePoule
Avatar de PatteDePoule
Membre éclairé https://www.developpez.com
Le 04/02/2014 à 17:42
Citation Envoyé par I_Pnose Voir le message
(et ça explique pourquoi l’Amérique est si touchée ; ils ne connaissent pas la carte à puce là-bas, contrairement aux cartes bancaires Européennes).
En fait on connait, nous sommes hybrides.
0  0 
sevyc64
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 04/02/2014 à 18:32
Citation Envoyé par Mr_Exal Voir le message

L'utilisation des bandes magnétiques en France étant peu répandue pour les commerçants français je ne pense pas que la France soit énormément touchée.
Tous les terminaux de paiement en France sont susceptibles d'utiliser la bande magnétique. Certains systématiquement, comme les terminaux des péages, certains terminaux à paiement rapide, etc (chaque fois que le code n'est pas à saisir). Pour les autres, si, sur une carte, la puce n'est pas lisible, il est toujours possible de payer via la bande magnétique.

Pour rappel : La bande magnétique est la norme dans le monde, la carte à puce et la saisie du code est l'exception française. Et les terminaux français doivent être compatible avec les cartes étrangères, et les cartes françaises (sauf carte à restriction) doivent être compatible avec les terminaux étrangers
0  0 
Mr_Exal
Avatar de Mr_Exal
Membre expert https://www.developpez.com
Le 05/02/2014 à 8:50
Citation Envoyé par sevyc64 Voir le message
Tous les terminaux de paiement en France sont susceptibles d'utiliser la bande magnétique. Certains systématiquement, comme les terminaux des péages, certains terminaux à paiement rapide, etc (chaque fois que le code n'est pas à saisir). Pour les autres, si, sur une carte, la puce n'est pas lisible, il est toujours possible de payer via la bande magnétique.

Pour rappel : La bande magnétique est la norme dans le monde, la carte à puce et la saisie du code est l'exception française. Et les terminaux français doivent être compatible avec les cartes étrangères, et les cartes françaises (sauf carte à restriction) doivent être compatible avec les terminaux étrangers
Il est possible de les utiliser oui. Mais ce n'est pas dans les habitudes de paiement des Français (maintenant concernant les péages je ne savais pas que c'était la bande magnétique qui était utilisée).

Pour une fois qu'en France on est plus avancés qu'aux US niveau sécurité
0  0 
I_Pnose
Avatar de I_Pnose
Membre chevronné https://www.developpez.com
Le 05/02/2014 à 10:17
Citation Envoyé par PatteDePoule Voir le message
En fait on connait, nous sommes hybrides.
Je n’ai pourtant jamais vu de carte bancaire américaine avec une carte à puce, du temps où je trainais dans le coin ^^

Il y a une explication rationnelle à ça ; la carte bancaire s’est imposée beaucoup plus tôt aux Etats-Unis qu’en Europe, bien avant que la carte à puce soit mise au point. Quand cette dernière s’est généralisée il était un peu tard pour les Etats-Unis de faire la bascule (qui représentait un investissement colossale)

Maintenant il est vrai que devant la recrudescence de falsifications de bandes magnétiques, il était question que les commerçants s’équipent en lecteurs de carte à puce avant une certaine date butoir (j’ai oublié ladite date, et je ne retrouve plus mes sources).

Bref, étant données que ça fait bien 6 ans que je ne suis pas allé au EU, il se peut que depuis ils aient commencé à s’équiper.

Citation Envoyé par sevyc64
Tous les terminaux de paiement en France sont susceptibles d'utiliser la bande magnétique. Certains systématiquement, comme les terminaux des péages, certains terminaux à paiement rapide, etc (chaque fois que le code n'est pas à saisir). Pour les autres, si, sur une carte, la puce n'est pas lisible, il est toujours possible de payer via la bande magnétique.
Celui que j’ai sous la main pour faire mes tests (un iWL250) ne lit pas la bande magnétique, et c’est loin d’être le seul terminal bancaire à être dépourvu de cette fonctionnalité. En l’occurrence il est compatible avec les paiements sans contact, mais là encore ce n’est pas lié à la bande magnétique.
0  0 
sevyc64
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 05/02/2014 à 17:00
Citation Envoyé par Mr_Exal Voir le message
Il est possible de les utiliser oui. Mais ce n'est pas dans les habitudes de paiement des Français (maintenant concernant les péages je ne savais pas que c'était la bande magnétique qui était utilisée).
A chaque fois que tu as un paiement avec une carte sans saisie du code, c'est l'utilisation de la bande magnétique.

Citation Envoyé par I_Pnose Voir le message
Je n’ai pourtant jamais vu de carte bancaire américaine avec une carte à puce, du temps où je trainais dans le coin ^^

Il y a une explication rationnelle à ça ; la carte bancaire s’est imposée beaucoup plus tôt aux Etats-Unis qu’en Europe, bien avant que la carte à puce soit mise au point. Quand cette dernière s’est généralisée il était un peu tard pour les Etats-Unis de faire la bascule (qui représentait un investissement colossale)
Ca existe (ou a existé), il ya eu des tentatives de mise à place de cartes sécurisées, mais ça ne prend pas aux US. Il parait même que certains en sont encore au "fer à repasser" pour faire les paiements par carte

Citation Envoyé par I_Pnose Voir le message
Celui que j’ai sous la main pour faire mes tests (un iWL250) ne lit pas la bande magnétique, et c’est loin d’être le seul terminal bancaire à être dépourvu de cette fonctionnalité. En l’occurrence il est compatible avec les paiements sans contact, mais là encore ce n’est pas lié à la bande magnétique.
Tu es sur ? Parce que c'est obligatoire pour que le lecteur soit homologué (France ou Europe, je sais plus). Je ne l'affirmerais pas mais je crois même que ça fait l'objet d'une norme.
Il n'y a que la France qui utilise la puce. Un lecteur qui ne lirait pas la bande magnétique ne serait utilisable que par des français avec des cartes françaises. Quid des touristes étrangers ?

Par contre, peut-être que certains lecteurs sont configurés pour que, en présence d'une puce, ils ne donnent pas accès à la bande magnétique. Là, je ne sais pas.
0  0 
I_Pnose
Avatar de I_Pnose
Membre chevronné https://www.developpez.com
Le 05/02/2014 à 17:54
Citation Envoyé par sevyc64 Voir le message
A chaque fois que tu as un paiement avec une carte sans saisie du code, c'est l'utilisation de la bande magnétique.
Non, pas dans le cas d’un paiement sans contact ; cette technologie s’appuie sur RFID et NFC et n’est valide que pour des paiements inférieur à 21 euros (ça a été mis en place pour effectuer des petits paiements rapides en somme ; t’achète ton sac de patates, tu passes ta carte au-dessus du lecteur compatible NFC, et tu dis au revoir à la dame). Seules les cartes renouvelées depuis Aout dernier intègrent cette technologie (tu peux toujours essayer de faire un paiement sans contact avec une carte bancaire vieille de deux ans, tu n’arriveras à rien =P ).

Citation Envoyé par sevyc64 Voir le message
Ca existe (ou a existé), il ya eu des tentatives de mise à place de cartes sécurisées, mais ça ne prend pas aux US. Il parait même que certains en sont encore au "fer à repasser" pour faire les paiements par carte
J’ai lu çà et là que les gros de la carte bancaire (Visa, Mastercard, etc...) voulait faire un forcing pour courant 2015. Les EU arrivent à un stade où les fraudes à la CB rattrapent le coût d’une migration vers un système plus sécurisé. Ils commencent à y penser sérieusement.

Citation Envoyé par sevyc64 Voir le message
Tu es sur ? Parce que c'est obligatoire pour que le lecteur soit homologué (France ou Europe, je sais plus). Je ne l'affirmerais pas mais je crois même que ça fait l'objet d'une norme.
Il n'y a que la France qui utilise la puce. Un lecteur qui ne lirait pas la bande magnétique ne serait utilisable que par des français avec des cartes françaises. Quid des touristes étrangers ?

Par contre, peut-être que certains lecteurs sont configurés pour que, en présence d'une puce, ils ne donnent pas accès à la bande magnétique. Là, je ne sais pas.
Certain. Mon lecteur est certifié EMV et compatible NFC, C’est tout.
Je te donne le lien qui présente le taux de pénétration de la norme EMV dans le monde (statistiques qui datent de 2012 visiblement), tu constateras que la France n’est pas la seule aux milieux de ses cartes à puce ^^.
http://www.cartes-bancaires.com/spip.php?article59
0  0 
Commenter Signaler un problème