zhu difeng - Fotolia
Meltdown/Spectre : une opportunité en or pour les pirates de cartes bancaires ?
Ces vulnérabilités viennent étoffer l’arsenal des attaquants susceptibles de viser les terminaux de points de vente et distributeurs automatiques de billets. Et cela d’autant plus que l’existant n’est pas toujours brillant. Mais d’autres vecteurs ne sont pas à négliger.
Les cyberdélinquants spécialistes de la collecte de données de cartes bancaires sont-ils déjà en train de chercher à mettre à profit Meltdown et Spectre pour étendre leur arsenal à l’encontre des distributeurs automatiques de billets (DAB, ou ATM en anglais) et des systèmes de point de vente ? Cela paraît probable.
Selon une étude de l’EC3 d’Europol et de Trend Micro, publiée fin septembre, les détournements de DAB via les réseaux informatiques des banques apparaissent de plus en plus fréquents. Ce n’est pas une surprise, comme le soulignent les auteurs de l’étude : « si l’on pense à un DAB moderne comme à un PC sous Windows connecté à une boîte pleine de billets contrôlée par logiciel, alors on mesure à quel point cela peut constituer une cible lucrative ».
Des systèmes vétustes…
Chez FireEye, David Grout ne dit pas autre chose : « les DAB sont pour la plupart d’entre eux similaires à des PCs avec des processeurs Intel, AMD ou ARM. Ils courent donc le même type de risque que les systèmes classiques au travers de l’utilisation des fonctions d’exécution spéculative, et donc d’un accès en mémoire même pour un processus non administrateur ».
Et l’on peut ajouter à cela que les versions de Windows utilisées là sont souvent obsolètes et hautement vulnérables. Ce n’est que début avril 2017 que Diebold Nixdorf a annoncé supporter Windows 10 pour ses DAB. Et il pouvait se targuer d’être le premier. Les auteurs de l’étude de l’EC3 et de Trend Micro l’affirment : « il y a au moins des centaines de milliers de DAB exécutant un système d’exploitation qui ne reçoivent plus de correctifs pour des nouvelles vulnérabilités, ou qui en seront bientôt privés ». Aravinda Korala, Pdg de Kal Software, un spécialiste des logiciels pour DAB, le souligne d’ailleurs dans un billet de blog : « le monde compte environ 3 millions de distributeurs bancaires dont la plupart fonctionnent sous Windows 7 ou XP ».
… et à la maintenance aléatoire
En 2016, plusieurs millions de cartes bancaires ont été compromises en Inde via des DAB. Et s’il fallait s’en convaincre, l’épisode WannaCry, au printemps dernier, a fait à nouveau la démonstration de la vulnérabilité des DAB aux attaques logicielles, qu’elle soit liée à la vétusté des systèmes ou des architectures réseau peu robustes, voire les deux.
Chez Trend Micro, Loïc Guézo estime que « même si l’emploi [de Meltdown et Spectre] ne semble pas immédiat, cela ne présage rien de bon : ces systèmes [les DAB, NDLR] sont connus pour être mal maintenus ou difficiles à patcher, dans des environnements sensibles de par la nature des informations traitées. À coup sûr Meltdown et Spectre font partie de l’arsenal qui pourra être déployé dans une prochaine attaque ciblée. À noter qu’ici, un renouvellement de parc vers une version de hardware non concerné pourrait être une bonne chose à accélérer, si c’est prévu ».
La contrainte de l’accès
Chez Wavestone, Vincent Nguyen souligne que pour exploiter ces vulnérabilités, encore faut-il pouvoir déjà déposer des exécutables sur les systèmes concernés. Et pour lui, « une fois que l’on peut accéder au DAB, on a déjà la main sur le reste du SI, et on peut accéder aux données qui passent par le DAB ». Dès lors, Meltdown et Spectre peuvent donc venir compléter l’arsenal des attaquants, sans pour autant constituer une nouveauté déterminante.
Alors certes, Aravinda Korala estime que les DAB profitent « généralement » d’une isolation réseau, même si, comme WannaCry l’a montré, ce n’est pas toujours le cas : une compromission via les réseaux bureautiques n’est donc pas exclue. Mais là, pour lui, le plus plausible reste encore l’accès physique au câble réseau, voire au système lui-même. Des scénarios où il rejoint l’analyse de Vincent Nguyen.
Des pratiques discutables
Pour autant, Aravinda Korala estime que « tant de DAB sont vraiment mal sécurisés… » Il déplore notamment le recours, sur ces systèmes, à des antivirus plutôt qu’à des listes blanches strictes. Et sans compter ceux sur lesquels les logiciels s’exécutent avec des droits d’administration — « l’héritage de logiciels mal développés » — car en cas d’attaque, l’accès aux privilèges d’administration marque « la fin de la partie » : le contrôle sur le DAB devient complet. Et justement, Meltdown permet notamment d’intercepter les identifiants d’un administrateur lors de leur saisie.
C’est la raison pour laquelle, Aravinda Korala souligne que dans les environnements de DAB développés par Kal, « l’accès administrateur n’est jamais nécessaire ». Au passage, il recommande d’activer Bitlocker pour éviter la modification du disque dur du DAB par un attaquant ayant acquis un accès physique sur le système.
Dans l’ensemble, en France, Vincent Nguyen estime que la situation est plutôt saine et que « l’essentiel du travail a été bien fait, même s’il reste des petits cas un peu à la marge et pas encore traités, mais ils sont mineurs ».
Des opérations trop chronophages pour être rentables ?
Massimiliano Michenzi, co-auteur du rapport de l’EC3, estime de son côté peu probable que les cyberdélinquants cherchent à exploiter Meltdown/Spectre pour collecter des données cartes dans les mémoires des DAB. Tout d’abord, les épisodes observés étaient « très ciblés », souligne-t-il. Mais surtout, ceux qui s’attaquent aux distributeurs de billets « préfèrent de l’argent sonnant et trébuchant qui peut être rapidement blanchi plutôt que de gérer des transactions sur des forums de carding ». Ce qui peut être chronophage.
Et d’ajouter que « les pirates effacent les traces de leurs attaques immédiatement après pour se protéger. Leur persistance dans les réseaux de DAB bancaires n’est maintenue que suffisamment longtemps pour récupérer l’argent ». Là, encore, pour limiter le risque de détection, notamment au travers de communications avec des serveurs de commande et de contrôle.
Terminaux de points de vente : un risque de plus
La situation des terminaux de point de vente (POS) est peut-être plus préoccupante. On se souviendra sûrement des incidents qui ont frappé ceux de Target, HomeDepot, ou encore les groupes Hyatt, Hilton, Starwood et Mandarin Oriental, sans compter tout récemment Forever 21. Vincent Nguyen indique d’ailleurs que Wavestone a « travaillé sur des cas où quelques millions de détails de cartes bancaires étaient aspirés directement au niveau des caisses ».
David Grout souligne que « l’un des défis pour les POS va être clairement le support des plateformes déployées sur ceux-ci, car un grand nombre d’entre eux opèrent toujours des plateformes obsolètes de Microsoft qui ne bénéficieront pas de support pour les patchs Spectre ou Meltdown. De plus, pour les environnements Microsoft, vu que la mise à jour nécessite le positionnement d’une valeur en clef de registre, cela va être un vrai défi pour l’industrie au sens large ».
Des choix d’architecture à adapter
Vincent Nguyen y voit d’ailleurs une cible potentiellement plus intéressante, « même l’environnement humain des appareils rend l’accès potentiellement plus compliqué ». Mais sur le plan logique, la situation apparaît plus préoccupante que pour les DAB : « beaucoup sont encore sur des SI peu cloisonnés. Les travaux sont en cours, ça avance, mais on part d’un historique plus compliqué à gérer ».
En outre, si les entreprises opérant ce type de systèmes peuvent avoir mis en place une surveillance du cœur de leur système d’information, celle-ci n’apparaît pas encore assez étendue à des systèmes métiers comme les terminaux de point de vente. Dès lors, d’éventuelles communications avec des serveurs de commande et de contrôle pourraient passer largement inaperçues.
Une industrie discrète
Pour cet article, nous avons également sollicité NCR, Diebold Nixdorf — en juillet dernier, IOActive avait alerté sur une vulnérabilité affectant certains de ses DAB —, la Payment Alliance, ou encore Kahuna ATM. Ceux-ci n’ont pas, pour l’heure, répondu à nos demandes de commentaires.
Fujitsu avait publié un billet de blog sur Meltdown/Spectre le 5 janvier, mais l’a depuis retiré de ses sites Web. Google le référence toutefois encore. Le groupe vient de publier un premier état d’analyse d’impact sur ses produits. Celui-ci concerne pour l’heure les mainframes et systèmes de stockage, mais n’apporte aucun élément concernant les systèmes de point-de-vente, les TeamPoS, et les DAB. Fujitsu précise toutefois clairement que les systèmes qui ne sont plus supportés ne recevront aucun correctif.