zhu difeng - Fotolia
Une récente attaque de distributeurs de billets appelle une nouvelle approche de la sécurité
Près d’une trentaine de personnes viennent d’être arrêtées en Europe à la suite de piratages de distributeurs automatiques de billets. Des attaques qui renvoient à des vulnérabilités connues et devraient interpeler bien au-delà du secteur bancaire.
Les attaques de distributeurs automatiques de billets (DAB, ou ATM en anglais) par « Black Box », ou boîte noire, semblent se multiplier en Europe depuis 2015. Europol vient d’ailleurs d’annoncer l’arrestation de 27 personnes impliquées dans de telles opérations, entre Espagne, Estonie, France, Norvège, Pays-Bas, République Tchèque, et Roumanie.
Telles qu’Europol les décrit, ces attaques consistent en une « attaque logique via la connexion d’un appareil non autorisé (généralement une boîte inconnue ou un ordinateur portable) qui envoie des commandes de distribution [de billets] directement au distributeur afin de le vider de son contenu ». De quoi provoquer des « pertes significatives », de l’ordre de « centaines de milliers d’euros ».
Une méthodologie connue
Le groupe européen de sécurité des DAB, a compté 58 attaques logiques visant les DAB en 2016, contre 15 l’année précédente. Un épiphénomène par rapport aux attaques par fraude (23 588 l’an passé) – comme celles utilisant des copies de cartes bancaires légitimes –, mais une tendance à la hausse certaine pour des opérations plus discrètes et moins risquées que les attaques physiques – aux explosifs notamment.
Ces attaques logiques par boîte noire impliquent un accès à la connectique interne « généralement en perçant des trous ou en fondant » la coque extérieure du distributeur. L’appareil des attaquants n’a plus alors qu’à être relié aux nappes internes des DAB.
Ce type d’attaque n’est pas nouveau. Il est apparu il y a environ 5 ans et, à l’automne 2015, NCR alertait ses clients à son sujet. A l’été 2016, deux chercheurs détaillaient de leur côté les vulnérabilités internes des DAB, soulignant au passage comment leur commander de distribuer tout leur contenu. De toute évidence, ces attaques demandent des efforts de recherche mais, sur le terrain, ne nécessitent que peu d’équipement. Redoutablement puissants, les smartphones modernes embarquent toutes les ressources de calcul nécessaires, sinon plus. A l’occasion de l’édition 2014 de la conférence européenne Black Hat, Alexey Osipov et Olga Kochetova s’étaient penchés sur de telles attaques conduites avec un simple Raspberry Pi.
Des recommandations trop ignorées
Déjà, à l’époque, les deux chercheurs recommandaient la mise en œuvre d’une authentification mutuelle entre l’ordinateur au cœur du DAB et ses périphériques. Même chose pour Diebold (Wincor) Nixdorf qui, en 2015, relevait que les attaques par boîte noire « auraient pu être prévenue si le chiffrement des communications entre l’unité PC et le module de distribution avaient été activées ». Et depuis 2014, NCR propose une solution de chiffrement avec des clés spécifiques à chaque DAB.
Mais force est de constater que ces recommandations n’ont pas été intégralement suivies. Et ce ne sont probablement pas les seules. Début 2014, 95 % des DAB dans le monde fonctionnaient encore sous Windows XP. L’été dernier, Kaspersky l’assurait dans un billet de blog : « la vaste majorité des DAB utilise encore… Windows XP ! »
Pour autant, à la même période, l’association internationale de l’industrie des DAB (ATMIA) estimait que toute « l’industrie a travaillé avec diligence pour traiter la fin de vie de Windows XP ». Un an plus tôt, l’ATMIA avait recommandé de migrer vers Windows 10, en anticipant la fin de tout support de Windows 7 attendue pour 2020, et sans passer par la case Windows 8.
Mais l’industrie commence tout juste à être prête à passer à Windows 10. Ainsi, début avril, Diebold Nixdorf a annoncé être le premier fabricant de DAB à supporter Windows 10. Dans son communiqué, le groupe soulignait au passage avoir commencé à livrer des équipements compatibles avec le tout dernier système d’exploitation client de Microsoft « dès la mi-2014 ».
Un exemple qui va bien au-delà du monde bancaire
En attendant, des distributeurs automatiques ont bien été victimes de WannaCry. De quoi montrer l’utilisation de systèmes d’exploitation vulnérables et de multiples discutables, en matière d’application de correctifs, malgré les exigences en la matière du standard PCI DSS, et de configuration réseau.
En fait, les attaques logiques affectant les DAB soulignent tout autant ce qu’il n’est plus possible de se permettre de faire et ce qu’il convient de mettre en œuvre, dans de nombreux domaines où l’informatique embarquée est à l’œuvre : industrie (ICS/Scada), santé (équipements médicaux), mais bien d’autres encore.
En particulier, ces attaques rappellent, s’il le fallait, que la sécurisation physique d’un système est loin d’être suffisante pour le prémunir contre les attaques logiques et que celles-ci, même si elles apparaissent peu probables, doivent être prises en compte dans la conception, avec notamment le chiffrement et l’authentification des communications. Sans compter, une fois de plus, l’application régulière des correctifs de sécurité.