Spécial sécurité : faux Terminaux Point de Vente pour vraie arnaque à la carte bancaire
Aujourd'hui, nos confrères de CNIS, magazine spécialisé dans la sécurité informatique, détaillent une nouvelle arnaque à la carte bancaire, qui sévit outre Atlantique et qui consiste tout simplement à remplacer les Terminaux Point de Vente des enseignes par des appareils trafiqués, transmettant les données bancaires des clients. Egalement au programme : un retour sur le bug catastrophe de la SNCF et des détails sur le dernier patch pour IE 6 et 7.
Sommaire :
1 - Faux Terminaux Point de Vente pour vraie arnaque à la carte bancaire
2 - La SNCF sait lire entre ses lignes … Ethernet
3 - Internet Explorer : à demi-danger, demi-patch
1) Faux Terminaux Point de Vente pour vraie arnaque à la carte bancaire
C’est un marchand de tissus américain qui dévoile l’affaire, en publiant sur son site un message d’avertissement à l’attention de ses clients : d’août à septembre, des malfrats auraient substitué les Terminaux Point de Vente (TPV) de plusieurs magasins du Wisconsin. Aucun détail technique n’a filtré à propos des modifications apportées aux TPV, ni sur l’étendue exacte de ce vol d’identités bancaires organisé. Mais le procédé semble bien rôdé, comme le démontre Andy Greenberg du journal Forbes. Une courte séquence vidéo insérée dans l’article montre comment les truands parviennent à échanger le terminal relié à une caisse enregistreuse. Le lecteur transmettait-il ses données par WiFi ou liaison GSM ? Combien de cartes ont ainsi été détournées ? Pour l’heure, la police ne semble pas prête à se livrer à trop de confidences, de peur probablement d’éveiller des vocations.
Cette variation sur le thème du skimming est d’autant plus efficace qu’il est difficile de soupçonner les TPV de caisse, en théorie toujours surveillé par le personnel du magasin. En outre, les fabricants de ces appareils clament depuis des années l’inviolabilité de leurs boîtiers, l’absolue fiabilité de leurs électroniques, l’impossibilité garantie sur facture de voir le système détourné de sa fonction première.
Comme rien ne semble distinguer un TPV compromis d’un autre terminal de saisie, il devient donc prudent de ne plus accepter d’insérer une carte de crédit dans un boîtier qui ne soit pas solidement attaché à un solide support métallique. Voilà qui ne va peut-être pas faire plaisir à bon nombre de restaurateurs, pompistes, postiers et autres « passeurs de terminaux sous l’hygiaphone ». Ceux qui, en revanche, vont voir les affaires reprendre, ce sont les fabricants de ces appareils prétendument inviolables qui voient brusquement leur marché de l’accessoire de fixation devenir très tendance.
2) La SNCF sait lire entre ses lignes … Ethernet
« L’accident annoncé sur ce site n’a jamais eu lieu » dit en substance le communiqué de la SNCF. Une attaque à la bombe Mâconnaise tout à fait virtuelle faisant partie d’un « exercice de simulation de crise », s’est retrouvée annoncée par hasard sur le serveur sncf.com dans la matinée du 16 mars. Annonce rapidement retirée et remplacée par le fichier pdf mentionné. Et le service de presse de préciser avec entrain :
« SNCF travaille de manière continue à l’anticipation de situations perturbées pouvant aller jusqu’à des situations exceptionnelles. Chaque mois, elle organise des exercices de simulation de ces situations.
En 2009, 10 exercices de cette nature ont été mis en œuvre en présence de l’ensemble de l’encadrement, tant au niveau national qu’au niveau régional.
C’est le rôle et la responsabilité de SNCF de se préparer à gérer les situations à risques afin de garantir la prise en charge de ses clients. »
En fait, la seule chose qui semble dérailler facilement, Rue du Commandant Mouchotte, ce sont les routeurs et l’isolation intranet/Internet. De quoi faire pondre quelques jolis mémoires aux spécialistes des attaques Scada.
3) Internet Explorer : à demi-danger, demi-patch
Sera-t-il appliqué, ou passera-t-il inaperçu, le correctif transitoire baptisé « Disable peer factory in iepeers.dll ». ? Ce patch temporaire répondant à l’alerte 981374 colmate une faille particulière qui n’affecte que I.E. 6 et 7, probablement le navigateur le plus utilisé en entreprise à l’heure actuelle, et dont la mise à niveau donne quelques migraines aux responsables de déploiement. Migraines qui ont de fortes chances de s’intensifier puisque, précise-t-on chez Microsoft, un exploit qui utilise cette vulnérabilité aurait été détecté « dans la nature ».
L’alerte en question avait largement été médiatisée à l’occasion du dernier mardi des rustines, conjointement à un autre avertissement, le fameux défaut « press F1 to be p0wn3d » (encore à l’état de preuve de faisabilité).
Cette semi-rustine est donc un semi « out of band » destiné à contrer un semi-danger, semi-diffusé et semi-médiatisé. Tout juste de quoi être à moitié inquiété.