« Haut les mains », crièrent les vilains, brandissant à bout de bras une clef USB menaçante en direction du distributeur de billets. Non, cela ne s’est pas vraiment passé comme ça, mais il y a bien eu des distributeurs de billets (ou DAB) hackés à l’aide d’une clef USB.
L’histoire remonte à juillet dernier et concerne plusieurs distributeurs d’une banque européenne, qui a souhaité rester anonyme, qui ont été pillés sans que le coffre-fort où les billets sont placés ne soit ouvert. La banque a contacté deux chercheurs en sécurité (qui ont également souhaité rester anonyme par peur des représailles), mais ont toutefois bien voulu donner quelques détails sur la procédure durant une intervention à l’occasion de la conférence Chaos Communication ainsi qu’à Wired.
L’argent était en fait récupéré de manière nettement plus discrète. Les malfrats commencent par percer un trou dans la machine afin de découvrir le port USB de l’ordinateur – sous Windows XP – qui se trouve derrière. Ils y insèrent ensuite une clef USB vérolée qui force le redémarrage et exécute au passage le code malicieux. Ils referment la plaie béante et attendent quelques jours, le temps que le DAB soit approvisionné.
Il leur suffit ensuite de taper un code sur le pavé numérique du distributeur pour accéder directement à toutes les fonctions « monétaires » de la machine et retirer ce qu’ils souhaitent en toute tranquillité. Discret et efficace.
Les chercheurs expliquent que le malware était particulièrement abouti et la technique extrêmement bien huilée. Ils sont d’ailleurs quasiment certains que les malfrats avaient réussi à mettre la main sur un distributeur. Certainement via un complice ayant un accès à ces machines, le code étant écrit spécifiquement pour les machines de la banque attaquée.
Ils indiquent toutefois que n’importe quel organisme bancaire utilisant Windows XP est vulnérable, et s’étonnent que certains utilisent encore cet OS de Microsoft où les failles sont bien documentées. Toutefois, depuis la découverte du hack plusieurs banques auraient procédé à des corrections visant à empêcher le démarrage des machines via le port USB.
Source
Print PDF