Des attaques de guichets automatiques via malware signalées en Europe de l'Ouest
Windows XP rendrait les GAB plus vulnérables
Le 2015-04-11 03:13:37, par Michael Guilloux, Chroniqueur Actualités
En février dernier, la firme de sécurité basée à Moscou, Kaspersky Labs, a signalé une vaste opération de cyberattaque, dans laquelle les attaquants ont volé des centaines millions de dollars à des guichets automatiques. Aujourd’hui, un nouveau rapport de l’équipe de sécurité des guichets automatiques européens (EAST) révèle l'existence d'attaques similaires qui lui ont été signalées pour la première fois en Europe occidentale. EAST est une organisation engagée dans la surveillance des tendances en matière de fraude aux guichets automatiques en Europe. Elle note encore dans son rapport que l’OS Windows XP de Microsoft contribue à rendre les GAB plus vulnérables aux attaques.
Cela fait maintenant un an que la firme de Redmond a mis fin au support de Windows XP. La décision de Microsoft a depuis lors augmenté le risque de vulnérabilité des dispositifs qui fonctionnent sous XP. Les fournisseurs de GAB ont alors commencé à avertir leurs clients de l’augmentation du risque de fraude et de sécurité lié à l’utilisation de l'OS, mais ces derniers semblent lents à réagir et à migrer vers les nouveaux systèmes. Les GAB restent donc exposés à des risques de sécurité significativement plus élevés.
« Comme un nombre important de distributeurs automatiques de billets de l'Europe continue d'utiliser le système d'exploitation Windows XP, il est à craindre que beaucoup restent vulnérables aux malwares de GAB si les mesures préventives nécessaires ne sont pas prises, » a dit EAST dans son rapport complet accessible aux abonnés et aux membres de l’organisation.
En plus de reporter les pertes issues des fraudes et attaques physiques de guichets automatiques, EAST a commencé à collecter les statistiques sur les attaques de GAB via des logiciels malveillants en 2014, après que des premiers incidents aient été signalés en Europe de l’Ouest. Au total, 51 attaques ont été enregistrées dans un pays de l’Europe de l’Ouest que le rapport n’a pas mentionné. Ces attaques ont permis aux pirates de s’en tirer avec 1,23 millions €. Les criminels ont utilisé des attaques « Cash out » ou « Jackpotting », dans lesquelles le malware est utilisé pour prendre le contrôle de la fonctionnalité de distribution de cash des guichets automatiques, leur permettant ainsi de prendre de l'argent liquide.
C'est la première fois que ces attaques sont signalées en Europe occidentale. Elles ont été généralement observées dans d’autres régions du monde, y compris en Europe de l'Est, en Asie-Pacifique et en Amérique latine, mais elles pourraient toucher plus de pays de l'Europe de l'Ouest en 2015, d’après Lachlan Gunn, directeur exécutif de l’organisation.
Si les malwares de GAB sont susceptibles d’être plus fréquemment utilisés en Europe, pour l’instant, ils ne sont pas encore la principale source de pertes enregistrées aux guichets automatiques. Le rapport d’EAST montre en effet que la fraude est la principale source de perte dans la zone surveillée. Même si le nombre de fraudes a baissé de 26% par rapport à 2013, la perte associée a, quant à elle, augmenté de 13% pour atteindre la somme de 280 millions €. Les fraudes comprennent entre autres la contrefaçon de cartes bancaires pour effectuer des retraits frauduleux, généralement en dehors de l’Europe.
Le rapport note également que les attaques physiques de guichets automatiques ont généré une perte de 27 millions € en 2014 par rapport aux 23 millions € l’année précédente. Ce qui correspond à une augmentation de 17% même si le nombre d’attaques physiques a baissé de 6%.
EAST rapporte également que les attaques physiques signalées étaient en partie de simples cambriolages ou des attaques par gaz explosif.
Source : EAST
Et vous ?
Qu’en pensez-vous ?
Cela fait maintenant un an que la firme de Redmond a mis fin au support de Windows XP. La décision de Microsoft a depuis lors augmenté le risque de vulnérabilité des dispositifs qui fonctionnent sous XP. Les fournisseurs de GAB ont alors commencé à avertir leurs clients de l’augmentation du risque de fraude et de sécurité lié à l’utilisation de l'OS, mais ces derniers semblent lents à réagir et à migrer vers les nouveaux systèmes. Les GAB restent donc exposés à des risques de sécurité significativement plus élevés.
« Comme un nombre important de distributeurs automatiques de billets de l'Europe continue d'utiliser le système d'exploitation Windows XP, il est à craindre que beaucoup restent vulnérables aux malwares de GAB si les mesures préventives nécessaires ne sont pas prises, » a dit EAST dans son rapport complet accessible aux abonnés et aux membres de l’organisation.
En plus de reporter les pertes issues des fraudes et attaques physiques de guichets automatiques, EAST a commencé à collecter les statistiques sur les attaques de GAB via des logiciels malveillants en 2014, après que des premiers incidents aient été signalés en Europe de l’Ouest. Au total, 51 attaques ont été enregistrées dans un pays de l’Europe de l’Ouest que le rapport n’a pas mentionné. Ces attaques ont permis aux pirates de s’en tirer avec 1,23 millions €. Les criminels ont utilisé des attaques « Cash out » ou « Jackpotting », dans lesquelles le malware est utilisé pour prendre le contrôle de la fonctionnalité de distribution de cash des guichets automatiques, leur permettant ainsi de prendre de l'argent liquide.
C'est la première fois que ces attaques sont signalées en Europe occidentale. Elles ont été généralement observées dans d’autres régions du monde, y compris en Europe de l'Est, en Asie-Pacifique et en Amérique latine, mais elles pourraient toucher plus de pays de l'Europe de l'Ouest en 2015, d’après Lachlan Gunn, directeur exécutif de l’organisation.
Si les malwares de GAB sont susceptibles d’être plus fréquemment utilisés en Europe, pour l’instant, ils ne sont pas encore la principale source de pertes enregistrées aux guichets automatiques. Le rapport d’EAST montre en effet que la fraude est la principale source de perte dans la zone surveillée. Même si le nombre de fraudes a baissé de 26% par rapport à 2013, la perte associée a, quant à elle, augmenté de 13% pour atteindre la somme de 280 millions €. Les fraudes comprennent entre autres la contrefaçon de cartes bancaires pour effectuer des retraits frauduleux, généralement en dehors de l’Europe.
Le rapport note également que les attaques physiques de guichets automatiques ont généré une perte de 27 millions € en 2014 par rapport aux 23 millions € l’année précédente. Ce qui correspond à une augmentation de 17% même si le nombre d’attaques physiques a baissé de 6%.
EAST rapporte également que les attaques physiques signalées étaient en partie de simples cambriolages ou des attaques par gaz explosif.
Source : EAST
Et vous ?
-
NeckaraInactifBonjour,
Les DAB (et les banques) sont sur leur propre réseau, séparé d'internet.
Même s'il est vrai qu'il y a des travaux de recherches pour relier les DAB à internet (pour afficher des pub par exemple).
Mais c'est encore en cours de réflexion.je vois pas comment on peut mettre un malware sur ce genre de matériel
En France, les GAB sont assez sûr et encastrés dans un mur. Ce n'est pas le cas de tous les pays.
Pourtant, on a déjà vu une actualité similaire il y a quelque mois de personnes ayant utilisé le port USB d'un GAB.
Après, il n'est pas visible et souvent à l'intérieur même du GAB, donc à part pouvoir l'ouvrir ou le percer…2) Le mec et super discret, je me vois bien dans la rue avec une scie sauteuse et démonter le distributeur....
Après, on peut aussi y aller au culot, tu te pointes en pleine journée, un jour où la banque est fermée avec des uniformes de réparateurs.Tant que tu n'a pas acces au dab, tu peut mettre l'os que tu veut y compris windows 3.1, sa risque rien, le seul peut être c'est Windows Me
Tu as les employés, tu as les personnes qui percent pour avoir un accès physique, tu as des hackers qui peuvent prendre le contrôle d'un équipement du même réseau, … il n'y a pas de "risque 0".
Tu peux le couper de tout réseau, l'éteindre et le planquer dans un entrepôt, ce n'est pas pour autant qu'il est en sécurité.Je ne pense pas, car le lecteur de carte c'est un périphérique spéciale, qui doit recevoir des données précise, le pilote n'est pas conçue pour recevoir autre chose.
Le protocole de communication est normalisée ISO 7816. En Europe, on a aussi EMV. Il n'y a, à ma connaissance, rien qui puisse permettre de modifier le GAB via le dispositif externe d'interface.
Après, on est jamais à l’abri d'une faille, mais ça me semble très peu probable.le 13/04/2015 à 8:26 -
10_GOTO_10Membre expérimentéPar exemple comme çale 12/04/2015 à 17:41
-
solstyce39Membre confirméFranchement, l'accès au port usb d'un DAB je demande à voir comme tu t'y prend, ça se démonte pas en 30s ce genre de machine et en plus c'est vidéo surveillé.
Pour le coté réseau j'ai quand même un vague doute sur le fait que les DAB soient accessible depuis le net, ou encore que les DAB ai eux même accès au net (ou alors il faut changer l'admin système et de façon urgente).
En fait mise à part à l'aide d'une faute humaine de configuration du système, ou un hack vraiment élaboré qui nécessite d'avoir une entrée sur le réseau du gérant du DAB je vois pas comment on peut mettre un malware sur ce genre de matériel (ou alors il faut avoir un complice dans la société mais là on ne peut plus vraiment parler de faille de sécurité).
Pour travailler moi même sur du matériel similaire, on prend pas le contrôle comme ça du matos y a quand même des contraintes physiques et un panel d'informations à trouver qui me semblent vraiment complexe sans aide interne, et je me demande d'ailleurs bien comment ces fameux malware on pu atterrir sur les dit DAB.
Pour la vidéo, ok le gars il l'a fait, mais bon comment peut on tranquillement ouvrir un DAB sans que personne n'intervienne ?le 12/04/2015 à 20:21 -
JipétéExpert éminent séniorle 15/04/2015 à 22:39
-
EscapetigerExpert éminent séniorSi si, in God we trust ou bien en version plus laïque francophone, in god(e) we trust d'après mes meilleures petites amies ...
A croire que de Debian à déviant pour un francophone, il n'y a qu'un pas, d'autres diraient un fork qui vient du français "fourche", comme la fourche du Diable ?le 15/04/2015 à 23:35 -
CafeinomanMembre éprouvéJe dit peut-être une connerie, mais y'a pas moyen de d'interfacer par le lecteur de carte? Le DAB y lit des infos, on doit pouvoir y faire passer un malware non?le 13/04/2015 à 7:23
-
gangsoleilModérateurBonjour,
Je ne suis pas entierement d'accord avec Kinderoff, mais c'est vrai que sur le fait d'utiliser un OS qui n'est plus supporte -- ou dont on ne veut pas payer le support -- c'est forcement une vulnerabilite. Et je remarque que les banques sont promptes à taper sur Microsoft, mais peu promptes à remplacer les OS des DAB.
Pour ce qui est de la sécurisation des cartes bancaires, là encore, la carte en elle-meme est sécurisée, mais les banques n'utilisent pas toutes ces sécurités : pourquoi obliger toujours un code à 4 chiffres, là où certains pays proposent des DAB qui permettent de changer le code et d'en mettre un comprenant 4 à 6 chiffres ? Pourquoi obliger les cartes avec paiement sans contact alors que cette technologie est bourrée de failles (peut-etre pour vendre des étuis spéciaux) ? Pourquoi est-ce que toutes les banques françaises n'obligent pas une double authentification pour se logger sur son compte, certaines obligeant un code de 6 chiffres ? Pourquoi ne pas rendre obligatoire un système de double authentification lors des paiements sur internet, comme c'est le cas dans certains pays ?
Beaucoup de questions qui ont déjà été posées aux banques, mais qui restent sans réponse.le 17/04/2015 à 11:33 -
NeckaraInactifC'est un coût, des décennies de développement logiciel à reprendre.
Il existe des réponses, mais elles ne sont pas en effet toujours simples à trouver.pourquoi obliger toujours un code à 4 chiffres, là où certains pays proposent des DAB qui permettent de changer le code et d'en mettre un comprenant 4 à 6 chiffres ?
De plus, ils doivent juger que l'apport en sécurité n'est pas si important que cela.Pourquoi obliger les cartes avec paiement sans contact alors que cette technologie est bourrée de failles (peut-etre pour vendre des étuis spéciaux) ?
De plus, les plafonds sont calculés afin que, si fraude il y a, elle soit inférieure à la moyenne.
S'il y a vol de la carte, qu'elle soit sans contact ou non ne changera pas grand chose.
S'il y a un paiement effectué sans le consentement de l'utilisateur, dans un espace bondé par exemple, il ne faut pas oublier qu'il faut pour cela un terminal de paiement, et donc un contrat avec une banque acquéreur. Donc si fraude il y a, on devrait pouvoir retrouver les coupables.Pourquoi est-ce que toutes les banques françaises n'obligent pas une double authentification pour se logger sur son compte, certaines obligeant un code de 6 chiffres ?Pourquoi ne pas rendre obligatoire un système de double authentification lors des paiements sur internet, comme c'est le cas dans certains pays ?
Si on te piques ton sac à main ou que ton gamin te piques ta carte et ton téléphone, cela reviendra au même sauf que tu ne pourras plus vraiment faire opposition.
Il n'y a pas que des questions de sécurité informatique, mais aussi législative. On peut être vulnérable au niveau de la sécurité informatique mais être protégé par la loi.
Après, cela ne dérange pas les banques de payer un peu de fraudes plutôt que d'investir.le 17/04/2015 à 11:50 -
EscapetigerExpert éminent sénior... Pour info, en cherchant une solution pour une amie non-informaticienne équipée chez microsoft, il existe effectivement à ma grande surprise un mode God ... pour Windows 7 !
Source :
http://windows.developpez.com/faq/wi...erses#god-mode
FAQ Windows 7 - Astuces diverses
Comment activer le God Mode ?le 17/07/2015 à 0:18 -
JipétéExpert éminent séniorSalut,
Yes yes, mais étant sous Debian je me suis demandé pendant une nanoseconde si on ne m'avait pas caché quelque chose, le posteur ayant l'air si sûr de lui !
J'ai d'ailleurs eu l'occasion de le relancer récemment sur ce sujet, avec 0 réponse...
Merci pour ton retour, en tout cas, et bonne journée,le 17/07/2015 à 7:57