Definition

Attaque de distributeur automatique de billets par boîte noire

L'attaque par boîte noire d'un distributeur automatique de billets (DAB) ou en anglais « ATM black box attack », appelée également jackpotting, est un type de piratage bancaire qui consiste à percer un trou au-dessus du distributeur pour accéder à son infrastructure interne.

Les pirates déconnectent ensuite le distributeur de billets et le relient à un appareil électronique externe, appelé boîte noire, qui utilise les commandes natives du DAB pour que la machine délivre des billets sans qu'une carte ou une autorisation de transaction soit nécessaire.

L'attaque de DAB par boîte noire est une forme d'attaque logique qui est devenue de plus en plus courante ces dernières années. Plutôt que d'exploiter les vulnérabilités logicielles, les attaques logiques utilisent des protocoles natifs existants, du middleware et des communications avec le cœur de la machine. Les fraudeurs accèdent physiquement à la partie supérieure du DAB qui abrite les ports USB afin d'y relier la boîte noire ou de télécharger un logiciel malveillant. Ce nouveau mode opératoire est différent mais tout aussi dangereux que les attaques habituelles telles que le clonage de carte de crédit ou les attaques de réseau.

Généralement, les auteurs d'attaques par boîte noire ne connaissent pas le système d'exploitation interne du système cible, ni le logiciel de contrôle des applications. Par conséquent, la boîte noire utilise simplement les sorties générées par le DAB en réponse à ses entrées et ne laisse pas de trace sur le terminal de paiement ciblé. Les chercheurs qui ont simulé ce type d'attaques ont identifié les entrées comme étant des requêtes envoyées par la boîte noire via l'interface utilisateur du DAB et les sorties comme étant soit des retraits d'espèces, soit un échec.

Les DAB de détail, mal protégés physiquement et situés à l'extérieur des établissements bancaires, sont plus vulnérables aux attaques par boîte noire car les pirates peuvent facilement les forcer. Cependant, les DAB des filiales bancaires ne sont pas à l'abri de ce type d'attaques.

Récentes attaques de DAB par boîte noire

En 2017 et 2018, des pirates ont utilisé une boîte à outils appelée KoffeyMaker lors de plusieurs attaques de DAB par boîte noire qui ont visé des établissements financiers d'Europe de l'Est. Des chercheurs de Kaspersky Lab qui ont enquêté sur l'utilisation de KoffeyMaker dans ces attaques ont découvert que les appareils utilisés étaient des ordinateurs portables Windows contenant des pilotes de distributeur et un outil KDIAG auquel un correctif avait été appliqué. Les auteurs de ces attaques ont discrètement ouvert un DAB dans chacune des banques ciblées, relié l'ordinateur portable au distributeur d'espèces, refermé le DAB et quitté les lieux. Ils ont ensuite utilisé un modem USB GPRS pour accéder à l'appareil connecté à distance, lancé l'outil KDIAG et exécuté une commande pour que le DAB distribue des billets de banque à un complice avant de récupérer l'ordinateur portable.

Comment prévenir les attaques de DAB par boîte noire

Pour réduire les risques d'attaque par boîte noire, il est indispensable de mettre à jour le logiciel et le matériel des DAB. Les spécialistes de la sécurité affirment que le meilleur moyen de prévenir les attaques par boîte noire est de surveiller attentivement les DAB et de les inspecter régulièrement. Selon Kaspersky Lab, les banques peuvent se défendre contre les attaques par boîte noire en utilisant un chiffrement matériel entre l'ordinateur et le distributeur d'un DAB. Les entreprises doivent également mettre en œuvre une stratégie de sécurité des données plus efficace comprenant l'utilisation du chiffrement pour protéger les données sensibles dans le cloud.

Les principaux fabricants de DAB ont également publié des directives expliquant aux banques et autres opérateurs comment protéger leurs machines. En outre, les forces de l'ordre ont arrêté plusieurs délinquants et pirates soupçonnés d'avoir commis des attaques par boîte noire.

Cette définition a été mise à jour en novembre 2019

Pour approfondir sur Cyberdélinquance