Black Hat : de l'art de pirater les distributeurs de billets

Alexandre Laurent
Publié le 30 juillet 2010 à 09h06
00B4000000046607-photo-le-distributeur-d-argent-tous-les-coups-on-gag.jpg
Il y a des présentations qui barbent l'assistance et d'autres qui lui arrachent des hourras. On imagine que la démonstration réalisée mercredi par Barnaby Jack lors de la conférence Black Hat appartenait à la seconde catégorie : ce hacker a en effet amené sur scène deux distributeurs de billets automatiques (DAB, ou ATM outre Atlantique) qu'il a piratés de façon à ce que ceux-ci se changent en fontaines à billets verts.

Ni thermite, ni fer à souder. Barnaby Jack a expliqué, comme le rapporte Wired, avoir réussi à passer les protections des deux distributeurs puis à y inoculer un logiciel de sa conception qui en a changé le comportement.

Premier cas de figure : un DAB connecté à Internet ou à une ligne téléphonique, ce qui serait selon le hacker le cas de 95% des distributeurs installés aux Etats-Unis de façon à ce que leur fournisseur puisse en assurer la maintenance à distance. Une fois les coordonnées de la machine localisées sur le réseau (adresse IP ou numéro de téléphone), il aura donc suffi à Barnaby Jack de leurrer le dispositif d'identification pour s'introduire dans la machine. Dans le second cas de figure, il explique s'être procuré très simplement en ligne une clé universelle qui permet d'ouvrir l'un des capots du distributeur et avoir installé son logiciel par le biais d'une simple clé USB.

Le malware ainsi inoculé, baptisé Scrooge (vraisemblablement en hommage au personnage de Dickens), est en mesure d'observer toutes les actions effectuées sur le distributeur, mais aussi d'enregistrer les coordonnées de cartes bancaires et les mots de passe ou, tout simplement, d'obéir à son propriétaire en lui permettant par exemple de vider la machine des billets qu'elle contient.

Dans les deux cas, c'est une vulnérabilité logicielle qui a permis la prise de contrôle, a expliqué Barnaby : la première se situait au niveau des processus d'authentification tandis que la seconde, qui aurait déjà été corrigée par le fabricant, permettait l'exécution d'un code non signé au niveau du système embarqué.

Au delà de son caractère sensationnel, la démonstration visait à alerter sur les possibilités de fraude informatique liée au circuit des distributeurs de billets. Un phénomène bien réel puisque selon un rapport de l'agence ENISA (European Network and Information Security Agency), il aurait permis en 2008 le détournement de quelque 485 millions d'euros.
Alexandre Laurent
Par Alexandre Laurent

Alex, responsable des rédactions. Venu au hardware par goût pour les composants qui fument quand on les maltraite, passé depuis par tout ce qu'on peut de près ou de loin ranger dans la case high-tech, que ça concerne le grand public, l'entreprise, l'informatique ou Internet. Milite pour la réhabilitation de Après que + indicatif à l'écrit comme à l'oral, grand amateur de loutres devant l'éternel, littéraire pour cause de vocation scientifique contrariée, fan de RTS qui le lui rendent bien mal.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles