Discussion :

[Stan Adkens]

Les malwares qui font cracher de l'argent aux distributeurs automatiques de billets se sont répandus dans le monde entier,
Selon un rapport d’enquête

Des attaques par malwares dites attaques de « jackpotting », qui sont des piratages qui font cracher de l'argent aux distributeurs automatiques de billets, sont de plus en plus fréquentes dans le monde entier, un signe que les banques sont toujours étonnamment vulnérables à ce genre de cybercriminalité. Selon un rapport d’enquête, des pirates informatiques équipés de logiciels du marché noir ciblent des distributeurs automatiques de billets dotés de logiciels obsolètes et d'une faible sécurité d’accès et s'en vont avec des millions d’euros. Différentes banques et fabricants de distributeurs sont ciblés à travers le monde.

Une enquête menée conjointement par Motherboard et le service public audiovisuel allemand Bayerischer Rundfunk (BR) a révélé de nouveaux détails sur une série de ce type d’attaques très médiatisées contre des distributeurs automatiques en Allemagne en 2017 qui ont vu des voleurs partir avec plus d'un million d'euros. Le jackpotting est une technique de piratage par laquelle les cybercriminels utilisent un logiciel malveillant ou une pièce de matériel pour tromper un guichet automatique et l'obliger à éjecter tout l’argent qu’il contient. Pour y parvenir, les pirates informatiques installent généralement le logiciel malveillant sur un guichet automatique en ouvrant physiquement un panneau sur la machine afin d’accéder à un port USB.

Des précédents rapports affirmaient que les attaques avec jackpot avaient diminué depuis certaines attaques très médiatisées de 2017 en Allemagne, mais la nouvelle enquête révèle que c'est le contraire qui s'est produit. Le jackpotting aurait fait parler de lui dans diverses autres régions dans le monde. Dans le cas de Fribourg, en Allemagne, en novembre dernier, un guichet automatique avait été piraté avec un malware appelé « Cutlet Maker », selon un agent des forces de l'ordre qui connaît bien l'affaire. Selon Motherboard, Cutlet Maker semble être à l’origine des attaques en Allemagne et dans toute l'Europe.

L’agent des forces de l'ordre a confié à Motherboard que dans ce cas de Fribourg, aucun argent n'a été volé. Par contre, les pirates informatiques ont pu emporter une somme de 1,4 million d'euros (1,5 million de dollars) au cours des 10 précédents incidents, survenus entre février et novembre 2017 et qui font l’objet d’enquête de la part du bureau du procureur Christoph Hebbecker. Selon M. Hebbecker, en raison de la nature similaire des attaques, il croit qu'elles sont toutes liées aux mêmes attaquants. « L'enquête est toujours en cours », a-t-il déclaré dans un courriel adressé à Motherboard.

Selon le rapport, plusieurs sources ont déclaré qu'un certain nombre d'attaques de 2017 en Allemagne avaient eu impact sur la banque Santander. Selon deux des sources, les attaques avaient ciblé spécifiquement le modèle de guichet automatique Wincor 2000xe, fabriqué par Diebold Nixdorf.

Lors d'un entretien téléphonique avec Motherboard, Bernd Redecker, directeur de la sécurité d'entreprise et de la gestion de la fraude chez Diebold Nixdorf, a déclaré : « En général, nous ne faisons pas de commentaires sur des cas uniques et spécifiques ». « Cependant, nous traitons bien sûr avec nos clients sur le jackpotting, et nous sommes au courant de ces cas », a-t-il ajouté. Selon Motherboard, Diebold Nixdorf a également vendu ces guichets automatiques sur le marché américain.

Dans un courriel, un porte-parole de Santander a déclaré : « La protection des informations de nos clients et l'intégrité de notre réseau physique sont au cœur de nos activités. Nos experts interviennent à toutes les étapes du développement des produits et des opérations pour protéger les clients et la banque contre la fraude et les cybermenaces. Cet accent mis sur la protection de nos données et de nos opérations nous empêche de commenter des questions de sécurité spécifiques ».

Toutefois l’enquête a révélé que les attaques ne concernaient pas seulement une seule banque et un seul fournisseur de distributeur automatique de billets.

Des dizaines de cas de jackpotting enregistrés concernant différentes banques et ciblant différents fabricants de GAB

Sans nommer les malwares utilisés par les attaquants, des responsables à Berlin ont déclaré avoir été confrontés à au moins 36 cas de jackpotting depuis le printemps 2018, au cours desquels plusieurs milliers d’euros ont été emportés. Motherboard a rapporté qu’au total 82 attaques de jackpotting ont été enregistrées dans différents Etats au cours des dernières années, selon les porte-paroles de la police, même si les voleurs n’ont pas pu emporter le contenu des guichets dans tous les cas.

Motherboard a aussi noté que ces cas de jackpotting ne se limitaient pas seulement à une seule banque ou à un seul fabricant de GAB. « Il est probable que les autres attaques ont touché d'autres banques que Santander ; il s'agit simplement des attaques que notre enquête a identifiées », a écrit Motherboard.

Redecker de Diebold Nixdorf a déclaré que « Vous le verrez chez tous les fournisseurs, ce n'est pas dédié à une machine spécifique, ni à une marque spécifique, et certainement pas à une région ».

Le phénomène du jackpoting s’étend au monde entier

Bien que de précédents rapports aient déclaré que le jackpotting a diminué en Europe au cours du premier semestre de cette année, de nombreuses sources contactées par Motherboard et BR ont déclaré que le nombre d'attaques dans d'autres parties du monde a augmenté. Selon le rapport, les régions attaquées comprennent les États-Unis, l'Amérique latine et l'Asie du Sud-Est, et le problème a des répercussions sur les banques et les fabricants de GAB dans l'ensemble du secteur financier. Aux États-Unis, un programme appelé Ploutus.D est beaucoup plus populaire.

Dans un rapport publié plus tôt ce mois, l'Association européenne pour les transactions sécurisées (EAST), une association à but non lucratif qui suit la fraude financière, a déclaré que les attaques de jackpotting ont diminué de 43 % par rapport à l'année précédente. Mais ce rapport ne couvre que l'Europe, a fait remarquer Motherboard.

Une source au courant des attaques de GAB a déclaré que « Cela se produit dans des parties du monde où ils n'ont pas besoin d'en parler à qui que ce soit », avant d’ajouter que « Ça augmente, mais le plus gros problème que nous avons, c'est que personne ne veut le signaler ».

Des distributeurs automatiques de billets dotés de logiciels obsolètes et d'une faible sécurité d’accès visés par le jackpotting

Motherboard a rapporté qu’une partie du problème de sécurité des guichets automatiques est que bon nombre d'entre eux sont, pour l'essentiel, des ordinateurs Windows obsolètes. « Ce sont de très vieilles machines lentes », a déclaré la source familière avec les attaques.

Redecker de Diebold Nixdorf a souligné que les fabricants de GAB ont amélioré la sécurité de leurs appareils, mais cela ne signifie pas nécessairement que tous les guichets automatiques de l'industrie seront à la même norme.

En avril 2015, l’équipe de sécurité des guichets automatiques européens (EAST) à signalé des attaques de guichets automatiques via un malware en Europe de l'Ouest. Selon les chercheurs, Windows XP aurait rendu les GAB plus vulnérables aux attaques.

La sécurité d’accès au GAB inférieure aux normes facilite également la tâche aux attaquants. En effet, David N. Tente, directeur exécutif de l'Association de l'industrie ATM (ATMIA) pour les États-Unis, le Canada et les Amériques, a déclaré dans un courriel : « Afin d'exécuter une attaque de jackpotting, vous devez avoir accès aux composants internes du guichet automatique. Ainsi, la prévention de cette première attaque physique contre le guichet automatique contribue grandement à prévenir l'attaque du jackpotting ».

Une autre raison de la multiplication du jackpotting, selon Motherboard, c’est que les malwares sont disponibles sur le marché noir. Des chercheurs de la société de cybersécurité Kaspersky ont signalé la présence de Cutlet Maker sur des forums de piratage depuis mai 2017, au moment de la série de jackpotting en Allemagne au cours de la même année.

L’un des vendeurs du malware Cutlet Maker s’est adressé à Motherboard en déclarant dans un courriel : « Oui, je vends. Cela coûte 1 000 $ », et ajoutant qu'ils peuvent également offrir du soutien sur la façon d'utiliser l'outil.

« Des méchants vendent ces développements[logiciels malveillants] à n'importe qui », a déclaré à Motherboard David Sancho, un expert en jackpotting de la société de cybersécurité Trend Micro. « Cela peut affecter n'importe quel pays du monde, a-t-il ajouté.

Sources : Motherboard, Bayerischer Rundfunk

Et vous ?

Qu’en pensez-vous ?
Quels commentaires faites-vous du fait que des GAB fonctionnent encore sous des SE obsolètes qui ont déjà été à l’origine de précédentes cyberattaques?

Lire aussi

Android pour débarrasser les guichets automatiques de Windows XP, avec une plateforme plus sécurisée et basée sur le Cloud
Voler un distributeur de billets à l'aide de seulement deux SMS ?
Cinq membres d'un groupe de pirates ciblant les GAB ont été arrêtés, le groupe aurait sévi dans plusieurs pays et dérobé environ 3 millions d'euros
Des attaques de guichets automatiques via malware signalées en Europe de l'Ouest, Windows XP rendrait les GAB plus vulnérables

[Jon Shannow]

Quels commentaires faites-vous du fait que des GAB fonctionnent encore sous des SE obsolètes qui ont déjà été à l’origine de précédentes cyberattaques?

Heu, le plus gros problème ne vient pas de l'OS du GAB, mais du fait que des hacker aient accès à ces appareils !

Normalement, seuls les responsables de la banque, et de la maintenance sont sensés accéder au background du GAB, pas le péquin moyen. Donc, le problème de sécurité est plus matériel que logiciel !

[Ryu2000]

Qu’en pensez-vous ?

Je trouve les attaques informatiques de distributeurs automatique de billets géniales ! Ça me rappelle Terminator II, ça me donne envie de rechercher "ATM hack conference" sur YouTube.
Il y a des années j'avais déjà vu un gars qui pouvait faire cracher des billets à un distributeur à distance. (je crois que c'était des chercheurs en sécurité dans une FAC).
Trois façons de pirater un distributeur automatique : à distance, presque à distance, et sur place

Les banques n'aiment pas quand on leur dit que leur système n'est pas sécurisé, dans l'histoire il est déjà arrivé que des chercheurs fassent part de leur découverte à des banques, et les banques ont très mal réagit, normalement elles auraient du dire "Merci de nous avoir partagé ces informations, maintenant nous allons travailler sur une solution pour améliorer la sécurité de notre infrastructure".

Février 2017 :
Une nouvelle menace plane sur les distributeurs automatiques de billets

Les distributeurs automatiques de billets restent une cible appréciée des pirates informatiques. Selon une étude publiée par Kaspersky , une entreprise spécialisée en cybersécurité, et relayée par 01Net , les "DAB" seraient vulnérables à une attaque informatique perfectionnée et surtout, discrète. Cette attaque a été détectée 10 fois en France, rapporte Kaspersky. C'est le deuxième pays à être autant ciblé après les Etats-Unis.
(...)
Cette vulnérabilité est d'autant plus importante que les distributeurs ne sont que très rarement mis à jour aujourd'hui. Si certaines banques disposent de protection contre les virus "classiques", très souvent, elles s'en contentent. "Tant que ça marche, on ne touche pas", résume Daniel Fages.

Difficulté supplémentaire : les DAB sont produits sur un mode industriel. Une faille telle que celle-ci peut donc fonctionner sur de très nombreux appareils.

Néanmoins, une telle attaque n'est pas facile à réaliser. Pour infiltrer la mémoire vive du distributeur, il faut d'abord avoir infecté le réseau qui relie les DAB d'une même banque entre eux. Ce réseau, souvent interne, n'est pas directement exposé à Internet et donc à une attaque.
"Les attaquants capables d'une telle manoeuvre ont des moyens et de très bonnes connaissances techniques", estime Daniel Fages.

Les banques ne font pas beaucoup d'efforts pour protéger les distributeurs, peut-être que ce n'est pas rentable pour elles.

[François DORIN]

Les choses semblent changer rapidement et radicalement pour l'Europe.

D'après l'EAST (european association for secure transactions) , le premier semestre 2019 a vu 35 incidents à base de malware sur toute l'Europe, pour un montant total d'à peine 1 000 € !

[François DORIN]

Heu, le plus gros problème ne vient pas de l'OS du GAB, mais du fait que des hacker aient accès à ces appareils !

Normalement, seuls les responsables de la banque, et de la maintenance sont sensés accéder au background du GAB, pas le péquin moyen. Donc, le problème de sécurité est plus matériel que logiciel !

C'est vrai, en théorie. En pratique, de nombreux modèles avaient un point d'entrée, comme un port USB, accessible simplement en perçant le DAB là où il faut avec une simple perceuse !

[Jon Shannow]

C'est vrai, en théorie. En pratique, de nombreux modèles avaient un point d'entrée, comme un port USB, accessible simplement en perçant le DAB là où il faut avec une simple perceuse !

C'est donc un problème de conception.

[Ryu2000]

En pratique, de nombreux modèles avaient un point d'entrée

En parlant de point d'entré ça me fait penser à une histoire de rat en Inde :
A Rat Broke Into an ATM, Ate Nearly $20,000 Worth of Cash, and Died
Peut-être que le futur du cambriolage ce sont les robots rats, ils pourront creuser les murs, manger les câbles, se faufiler partout.

[François DORIN]

C'est donc un problème de conception.

Tout à fait ! C'était juste pour rebondir sur le besoin d'accéder au backend, qui n'en est pas réellement un

[Jon Shannow]

Tout à fait ! C'était juste pour rebondir sur le besoin d'accéder au backend, qui n'en est pas réellement un

En effet, tu as raison sur ce point. C'est assez incroyable que ces machines ne soient pas plus sécurisées, quand même !

[SoyouzH2]

Très bien, vue le pognon qu'elles nous tapent les banques a nous vendre notre argent... c'est cool que ça aille un peut dans l'autre sens... ça leurs convient pas ? embauché des gens en Cybersec ! ah oui j'oubliais, elles veulent ENCORE réduire les coups en rognant sur les salariés, well, bah qu'elles mangent plein pot.

[hotcryx]

Ce sera selon eux, une raison de plus pour supprimer l'argent papier et nous imposer la marque de la bête.

Comme par hasard! (ils créent le problème pour apporter la solution)

Ce jour est proche, très proche.

[Ryu2000]

Ce sera selon eux, une raison de plus pour supprimer l'argent papier

Ouais il y a de moins en moins de distributeurs automatique de billets et on entend souvent parler des projets de suppression d'argent liquide
Alors que le liquide c'est la liberté.
En Allemagne ils aiment bien payer en liquide :
Historique ! Les Allemands délaissent le cash pour la carte

Pour la première fois en 2017, la part des paiements en espèces outre-Rhin est passée sous les 50% en valeur et celle des cartes bancaires a augmenté de six points en trois ans, selon une étude de la Bundesbank. L'argent liquide reste le moyen de paiement favori dans 74% des transactions (en volume).

En France il y a plein de banques qui te font chier quand tu veux sortir 3000€ en liquide, alors que c'est ton argent, normalement tu fais ce que tu veux avec...

Comme par hasard! (ils créent le problème pour apporter la solution)

Elles n'ont pas fait exprès de créer des failles, c'est juste qu'elles n'aiment pas s'améliorer...

Ce jour est proche, très proche.

Ça dépend ce qu'on entend par "proche".
Ça fait des années qu'il existe des projets de sociétés sans cash et ça va mettre encore un certains temps à arriver.

À quand une société sans cash ?

C'est la Suède qui mène aujourd'hui la danse vers une société sans cash. Une grande partie du succès de la Suède en matière de paiement sans cash tient au fait que les paiements numériques peuvent être effectués n'importe où, à tel point que des chercheurs, Niklas Arvidsson et Jonas Hedman, de la Copenhagen School of Economics estiment que les espèces ne seront plus utilisées en Suède d'ici à mars 2023.

[Invité]

En parlant de point d'entré ça me fait penser à une histoire de rat en Inde :
A Rat Broke Into an ATM, Ate Nearly $20,000 Worth of Cash, and Died
Peut-être que le futur du cambriolage ce sont les robots rats, ils pourront creuser les murs, manger les câbles, se faufiler partout.

Wow

Dans le même registre, j'ai bossé dans une banque il y a quelques années et j'avais sympathisé avec un type qui avait fait beaucoup de maintenance de DAB. Un jour il va sur un site pour un dépannage. Il appelle une centrale pour faire des tests... Alors qu'il était au téléphone, sa valide d'outils ouverte derrière lui, un commerçant passe au DAB pour y glisser son enveloppe pleine de numéraires et de chèques... Sauf que l'enveloppe tombe dans la valise... Et le technicien n'y a vu que du feu, a refermé sa valise...
Il a découvert l'enveloppe 3 jours après en retournant dépanner un autre DAB
Il essaie de joindre son boss, son assistance, etc pas de réponse (c'était en HNO). En crise de gros stress, il va alors à la gendarmerie, il voulait que ce soit un représentant des forces de l'ordre qui ouvre l'enveloppe... "Ils arrêtaient pas de rigoler et de se foutre de ma gueule en me disant que j'allais aller en prison à vie"

-VX

[Jon Shannow]

En France il y a plein de banques qui te font chier quand tu veux sortir 3000€ en liquide, alors que c'est ton argent, normalement tu fais ce que tu veux avec...

C'est surtout que, pour des raisons de sécurité, les agences bancaires ont de moins en moins d'argent liquide. Tu peux retirer tout ton fric si tu veux, mais dans ce cas il faut les prévenir à l'avance.

[Ryu2000]

Si il suffisait de demander 1 ou 2 jours en avance ça irait, mais à cause de la lutte anti-blanchiment et de la lutte anti-terrorisme la banque peut poser des questions et je ne trouve pas ça normal, une personne devrait pouvoir retirer 3000€ sans se justifier.

La Banque Postale : un excès de zèle pour limiter les retraits en espèces ?

A La Banque Postale, les clients doivent-ils justifier leurs retraits importants ? Cette question a été soulevée début mai sur les réseaux sociaux, suite à la publication de la photo d’une affichette, prise dans une agence de la Poste, invitant les clients à fournir un justificatif de dépense pour retirer plus de 1 500 euros.

Excès de zèle généralisé ou erreur isolée ? Quelques jours après la publication sur Twitter de la photo d’un écriteau prise dans une Poste située dans le 15ème arrondissement de Paris indiquant que, pour les retraits d’un montant égal ou supérieur à 1 500 euros, les clients doivent justifier de l’usage de l’argent, la polémique continue…
Un usager de la Banque postale de Savigny-sur-Orge a expliqué à cBanque, n’avoir pas pu retirer la somme voulue. Ainsi, dans une vidéo qu'il a posté ce 9 mai sur le réseau social, on peut effectivement entendre une chargée de clientèle répondre ne pas pouvoir délivrer plus de 1 500 euros en une seule fois à cause d’une « réglementation interne » au moins active dans toute l’Essonne.

[BLeguillou]

çà me rappelle Serge Humpich il y a quelques années:
https://fr.wikipedia.org/wiki/Serge_Humpich

[Ryu2000]

https://fr.wikipedia.org/wiki/Serge_Humpich

Parfait c'est exactement ce genre d'exemple que je cherchais !
Un scientifique découvre une faille, il en fait part et il se fait punir...

Épaulé par un avocat, il tente – sans succès – de négocier son « savoir-faire » auprès du GIE des cartes bancaires. Pour démontrer la faisabilité de cette technique, il effectue une démonstration publique de la vulnérabilité des cartes en retirant un carnet de tickets de métro au moyen d'une carte de sa fabrication dans un distributeur automatique. Cette tentative lui vaut une perquisition, la saisie de son matériel et une mise en garde à vue.

Il est jugé le 25 février 2000, « coupable de falsification de cartes bancaires et d'introduction frauduleuse dans un système automatisé de traitement ».