zhu difeng - Fotolia
Des millions de cartes bancaires compromises via des distributeurs
Plus de trois millions de cartes bancaires ont été compromises en Inde pour avoir été utilisées dans des distributeurs automatiques signés Hitachi et affectés par un logiciel malveillant.
Les banques indiennes seraient sur le point de devoir réémettre quelque 3,2 millions de cartes. Selon nos confrères de l’Economic Times of India, 2,6 millions de cartes bancaires Visa et MasterCard, et 600 000 liées à la plateforme RuPay ont été compromises lors de leur utilisation dans des distributeurs automatiques de billets (DAB) du constructeur Hitachi, infectés par un logiciel malveillant. Ce dernier n’aurait été détecté que six semaines après le début de sa diffusion.
De nombreux porteurs de telles cartes auraient fait état de transactions frauduleuses en Chine. Le conseil indien des paiements a demandé aux banques locales de conduire un audit de leurs systèmes. Les banques HDFC et SBI ont de leur côté déjà demandé à ses clients ayant utilisé leur carte dans des DAB d’autres réseaux de changer leur code PIN.
Un tel incident était déjà survenu en 2009. Sophos puis Trustwave avaient alors fait état d’un logiciel malveillant ciblant les automatiques bancaires, un malware affectant les DAB fonctionnant sous Windows XP et capable de capturer les données des pistes magnétiques des cartes, ainsi que le code PIN à quatre chiffres de leurs porteurs. Fin 2014, Kaspersky avait en outre découvert un logiciel malveillant installé sur des dizaines de DAB en Europe, « d’un important constructeur » et fonctionnant sous une version 32 bits de Windows. Baptisé Tyupkin, il devait permettre d’en dérober le contenu sans effort.
Et justement, l’éditeur russe s’est récemment sur les menaces actuelles ou envisageables à l’avenir visant spécifiquement les distributeurs automatiques de billets. Pourquoi les DAB ? Parce que, selon Kaspersky, « le niveau global de sécurité des DAB modernes en fait le moyen le plus facile et le plus rapide pour les fraudeurs d’accéder à l’argent des banques ». Plus encore donc, que de s’attaquer aux systèmes connectés au réseau Swift. Et le panorama dressé par l’éditeur n’a rien de rassurant, entre attaques visant le réseau pour intercepter les communications des DAB, vol de données d’authentification du porteur par logiciels malveillants injectés via clé USB, ou encore vol de données biométriques d’authentification du porteur par interception. Il y aurait déjà sur le marché « douze fabricants de faux scanners d’empreintes digitales » que des cybercriminels pourraient installer sur des DAB compromis afin de dérober ces données biométriques. Et il faudrait déjà compter avec « au moins trois autres fabricants développant des appareils qui permettront d’obtenir illégalement des données à partir de systèmes de reconnaissance des veines de la paume et de l’iris ».
Une situation d’autant plus préoccupante que, comme le souligne Kaspersky, « il est impossible de changer votre empreinte digitale ou votre image de l’iris ». Dès lors, une fois que ces données biométriques ont été compromises, elles cessent définitivement d’être utilisables de manière sûre.