Il y a des présentations qui barbent l'assistance et d'autres qui lui arrachent des hourras. On imagine que la démonstration réalisée mercredi par Barnaby Jack lors de la conférence Black Hat appartenait à la seconde catégorie : ce hacker a en effet amené sur scène deux distributeurs de billets automatiques (DAB, ou ATM outre Atlantique) qu'il a piratés de façon à ce que ceux-ci se changent en fontaines à billets verts.
Ni thermite, ni fer à souder. Barnaby Jack a expliqué, comme le rapporte Wired, avoir réussi à passer les protections des deux distributeurs puis à y inoculer un logiciel de sa conception qui en a changé le comportement.
Premier cas de figure : un DAB connecté à Internet ou à une ligne téléphonique, ce qui serait selon le hacker le cas de 95% des distributeurs installés aux Etats-Unis de façon à ce que leur fournisseur puisse en assurer la maintenance à distance. Une fois les coordonnées de la machine localisées sur le réseau (adresse IP ou numéro de téléphone), il aura donc suffi à Barnaby Jack de leurrer le dispositif d'identification pour s'introduire dans la machine. Dans le second cas de figure, il explique s'être procuré très simplement en ligne une clé universelle qui permet d'ouvrir l'un des capots du distributeur et avoir installé son logiciel par le biais d'une simple clé USB.
Le malware ainsi inoculé, baptisé Scrooge (vraisemblablement en hommage au personnage de Dickens), est en mesure d'observer toutes les actions effectuées sur le distributeur, mais aussi d'enregistrer les coordonnées de cartes bancaires et les mots de passe ou, tout simplement, d'obéir à son propriétaire en lui permettant par exemple de vider la machine des billets qu'elle contient.
Dans les deux cas, c'est une vulnérabilité logicielle qui a permis la prise de contrôle, a expliqué Barnaby : la première se situait au niveau des processus d'authentification tandis que la seconde, qui aurait déjà été corrigée par le fabricant, permettait l'exécution d'un code non signé au niveau du système embarqué.
Au delà de son caractère sensationnel, la démonstration visait à alerter sur les possibilités de fraude informatique liée au circuit des distributeurs de billets. Un phénomène bien réel puisque selon un rapport de l'agence ENISA (European Network and Information Security Agency), il aurait permis en 2008 le détournement de quelque 485 millions d'euros.