Discussion :

[Stéphane le calme]

Un malware subtilise les données de près de 50 000 cartes bancaires dans 11 pays,
ChewBacca agit depuis bientôt trois mois

La division dédiée à la sécurité d'EMC a parlé sur son blog de ChewBacca, un malware dont la mission est de voler des données de cartes bancaires directement par le biais des terminaux de paiement.

RSA note que ces trois derniers mois, près de 50 000 données bancaires ont ainsi été subtilisées dans 11 pays, parmi lesquelles les États-Unis (qui ont essuyé la plupart des attaques, soit 32 % au total), l'Australie, le Canada et même la Russie. « Nos recherches indiquent qu'en ce moment 119 terminaux PoS parmi 45 commerçants montrent une évidence d'infection par ChewBacca » explique Uri Fleyder, le Directeur de la Cybercrime Research à RSA. Le logiciel malveillant cible les données stockées dans les bandes magnétiques des cartes, lesquelles sont enregistrées lors d'un passage à la machine.

ChewBacca installe un proxy client Tor sur les systèmes infectés et se connecte à une adresse .onion. Une fois installé sur la machine, le logiciel est capable d'extraire des informations spécifiques des processus en fonctionnement et les envoie à une autre adresse en .onion.

Le malware a également une composante keylogger qui enregistre les événements clavier ainsi que les changements des évènements focus. Les informations ainsi recueillies sont sauvegardées dans les fichiers temporaires de Windows sous le nom system.log. Même si ce logiciel n'est pas un exemple de discrétion sur Windows (il se retrouve dans le dossier « Démarrer » et se présente sous la forme d'un exécutable système -spoolsv.exe-), il n'en demeure pas moins que 20 % des logiciels antivirus ne le détectent toujours pas à ce jour, d'après Curt Wilson, analyste recherche senior chez Arbor Network.

Côté serveur il y a un panneau de configuration à partir duquel les hackers peuvent examiner les systèmes compromis et les données qui ont été subtilisées.

« Le cheval de Troie ChewBacca apparaît comme un simple malware, bien que, malgré un manque de sophistication et de mécanismes de défense, il ait réussi à voler des informations sur les cartes de paiement de plusieurs douzaines de vendeurs dans le monde en un peu plus de deux mois », explique RSA. Pour contrer la progression de ChewBacca, RSA propose d'informer les employés face aux menaces informatiques ou d'investir dans un chiffrement plus efficace pour renforcer la sécurité.

Les types de données que le malware collecte n'ont pas été précisés. Toutefois, Marco Preuss, directeur de l'équipe Global Research and Analysis de Kaspersky, pense qu'il s'agit probablement de données financières.

Source : blog RSA

Et vous ?

Que pensez-vous des moyens de défense proposés par RSA ? Pouvez-vous en suggérer d'autres ?

[Calmacil]

Il serait intéressant de savoir si la France fait partie des pays touchés

[Mr_Exal]

Il faut néanmoins souligner que le malware cible les données stockées dans les bandes magnétiques des cartes : ces dernières sont enregistrées lorsqu'elles sont passées dans la machine, tandis qu'un keylogger enregistre de son côté le code tapé sur le clavier numérique.

Source : http://www.clubic.com/antivirus-secu...s-11-pays.html

L'utilisation des bandes magnétiques en France étant peu répandue pour les commerçants français je ne pense pas que la France soit énormément touchée.

[Népomucène]

Il serait intéressant de savoir si la France fait partie des pays touchés

Ah ben non. Comme le nuage de Tchernobyl, il s'est arrêté à la frontière

[HardBlues]

A priori on parle de la bande magnétique des cartes bleues...
Par contre il s’agirait de terminaux connectés à des postes Windows?

[I_Pnose]

Il serait intéressant de savoir si la France fait partie des pays touchés

La lecture des bandes magnétiques en France, on trouve ça dans les péages, certaines stations-services 24/7 et certains distributeurs de billets (toutes les machines qui avalent les cartes en somme). Par contre je n’ai jamais vu de commerçants utiliser ce genre de machine. Ca limite un tout petit peu le risque (et ça explique pourquoi l’Amérique est si touchée ; ils ne connaissent pas la carte à puce là-bas, contrairement aux cartes bancaires Européennes).

[PatteDePoule]

(et ça explique pourquoi l’Amérique est si touchée ; ils ne connaissent pas la carte à puce là-bas, contrairement aux cartes bancaires Européennes).

En fait on connait, nous sommes hybrides.

[sevyc64]

L'utilisation des bandes magnétiques en France étant peu répandue pour les commerçants français je ne pense pas que la France soit énormément touchée.

Tous les terminaux de paiement en France sont susceptibles d'utiliser la bande magnétique. Certains systématiquement, comme les terminaux des péages, certains terminaux à paiement rapide, etc (chaque fois que le code n'est pas à saisir). Pour les autres, si, sur une carte, la puce n'est pas lisible, il est toujours possible de payer via la bande magnétique.

Pour rappel : La bande magnétique est la norme dans le monde, la carte à puce et la saisie du code est l'exception française. Et les terminaux français doivent être compatible avec les cartes étrangères, et les cartes françaises (sauf carte à restriction) doivent être compatible avec les terminaux étrangers

[Mr_Exal]

Tous les terminaux de paiement en France sont susceptibles d'utiliser la bande magnétique. Certains systématiquement, comme les terminaux des péages, certains terminaux à paiement rapide, etc (chaque fois que le code n'est pas à saisir). Pour les autres, si, sur une carte, la puce n'est pas lisible, il est toujours possible de payer via la bande magnétique.

Pour rappel : La bande magnétique est la norme dans le monde, la carte à puce et la saisie du code est l'exception française. Et les terminaux français doivent être compatible avec les cartes étrangères, et les cartes françaises (sauf carte à restriction) doivent être compatible avec les terminaux étrangers

Il est possible de les utiliser oui. Mais ce n'est pas dans les habitudes de paiement des Français (maintenant concernant les péages je ne savais pas que c'était la bande magnétique qui était utilisée).

Pour une fois qu'en France on est plus avancés qu'aux US niveau sécurité

[I_Pnose]

En fait on connait, nous sommes hybrides.

Je n’ai pourtant jamais vu de carte bancaire américaine avec une carte à puce, du temps où je trainais dans le coin ^^

Il y a une explication rationnelle à ça ; la carte bancaire s’est imposée beaucoup plus tôt aux Etats-Unis qu’en Europe, bien avant que la carte à puce soit mise au point. Quand cette dernière s’est généralisée il était un peu tard pour les Etats-Unis de faire la bascule (qui représentait un investissement colossale)

Maintenant il est vrai que devant la recrudescence de falsifications de bandes magnétiques, il était question que les commerçants s’équipent en lecteurs de carte à puce avant une certaine date butoir (j’ai oublié ladite date, et je ne retrouve plus mes sources).

Bref, étant données que ça fait bien 6 ans que je ne suis pas allé au EU, il se peut que depuis ils aient commencé à s’équiper.

Tous les terminaux de paiement en France sont susceptibles d'utiliser la bande magnétique. Certains systématiquement, comme les terminaux des péages, certains terminaux à paiement rapide, etc (chaque fois que le code n'est pas à saisir). Pour les autres, si, sur une carte, la puce n'est pas lisible, il est toujours possible de payer via la bande magnétique.

Celui que j’ai sous la main pour faire mes tests (un iWL250) ne lit pas la bande magnétique, et c’est loin d’être le seul terminal bancaire à être dépourvu de cette fonctionnalité. En l’occurrence il est compatible avec les paiements sans contact, mais là encore ce n’est pas lié à la bande magnétique.

[sevyc64]

Il est possible de les utiliser oui. Mais ce n'est pas dans les habitudes de paiement des Français (maintenant concernant les péages je ne savais pas que c'était la bande magnétique qui était utilisée).

A chaque fois que tu as un paiement avec une carte sans saisie du code, c'est l'utilisation de la bande magnétique.

Je n’ai pourtant jamais vu de carte bancaire américaine avec une carte à puce, du temps où je trainais dans le coin ^^

Il y a une explication rationnelle à ça ; la carte bancaire s’est imposée beaucoup plus tôt aux Etats-Unis qu’en Europe, bien avant que la carte à puce soit mise au point. Quand cette dernière s’est généralisée il était un peu tard pour les Etats-Unis de faire la bascule (qui représentait un investissement colossale)

Ca existe (ou a existé), il ya eu des tentatives de mise à place de cartes sécurisées, mais ça ne prend pas aux US. Il parait même que certains en sont encore au "fer à repasser" pour faire les paiements par carte

Celui que j’ai sous la main pour faire mes tests (un iWL250) ne lit pas la bande magnétique, et c’est loin d’être le seul terminal bancaire à être dépourvu de cette fonctionnalité. En l’occurrence il est compatible avec les paiements sans contact, mais là encore ce n’est pas lié à la bande magnétique.

Tu es sur ? Parce que c'est obligatoire pour que le lecteur soit homologué (France ou Europe, je sais plus). Je ne l'affirmerais pas mais je crois même que ça fait l'objet d'une norme.
Il n'y a que la France qui utilise la puce. Un lecteur qui ne lirait pas la bande magnétique ne serait utilisable que par des français avec des cartes françaises. Quid des touristes étrangers ?

Par contre, peut-être que certains lecteurs sont configurés pour que, en présence d'une puce, ils ne donnent pas accès à la bande magnétique. Là, je ne sais pas.

[I_Pnose]

A chaque fois que tu as un paiement avec une carte sans saisie du code, c'est l'utilisation de la bande magnétique.

Non, pas dans le cas d’un paiement sans contact ; cette technologie s’appuie sur RFID et NFC et n’est valide que pour des paiements inférieur à 21 euros (ça a été mis en place pour effectuer des petits paiements rapides en somme ; t’achète ton sac de patates, tu passes ta carte au-dessus du lecteur compatible NFC, et tu dis au revoir à la dame). Seules les cartes renouvelées depuis Aout dernier intègrent cette technologie (tu peux toujours essayer de faire un paiement sans contact avec une carte bancaire vieille de deux ans, tu n’arriveras à rien =P ).

Ca existe (ou a existé), il ya eu des tentatives de mise à place de cartes sécurisées, mais ça ne prend pas aux US. Il parait même que certains en sont encore au "fer à repasser" pour faire les paiements par carte

J’ai lu çà et là que les gros de la carte bancaire (Visa, Mastercard, etc...) voulait faire un forcing pour courant 2015. Les EU arrivent à un stade où les fraudes à la CB rattrapent le coût d’une migration vers un système plus sécurisé. Ils commencent à y penser sérieusement.

Tu es sur ? Parce que c'est obligatoire pour que le lecteur soit homologué (France ou Europe, je sais plus). Je ne l'affirmerais pas mais je crois même que ça fait l'objet d'une norme.
Il n'y a que la France qui utilise la puce. Un lecteur qui ne lirait pas la bande magnétique ne serait utilisable que par des français avec des cartes françaises. Quid des touristes étrangers ?

Par contre, peut-être que certains lecteurs sont configurés pour que, en présence d'une puce, ils ne donnent pas accès à la bande magnétique. Là, je ne sais pas.

Certain. Mon lecteur est certifié EMV et compatible NFC, C’est tout.
Je te donne le lien qui présente le taux de pénétration de la norme EMV dans le monde (statistiques qui datent de 2012 visiblement), tu constateras que la France n’est pas la seule aux milieux de ses cartes à puce ^^.
http://www.cartes-bancaires.com/spip.php?article59

[sevyc64]

Non, pas dans le cas d’un paiement sans contact ;

J'ai parlais évidemment (sous entendu) du cas ou on insère la carte dans un lecteur.
Il est évidement que dans un "sans contact", il n'y a contact ni avec la puce, ni avec la bande magnétique

[Mr_Exal]

A chaque fois que tu as un paiement avec une carte sans saisie du code, c'est l'utilisation de la bande magnétique.

Je sais bien mais en France c'est souvent du :"Tapez votre code monsieur". J'ai jamais utilisé la bande magnétique en fait c'est sûrement pour ça.