"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui regardent et laissent faire !" Albert Einstein

Des SMS pour piller les distributeurs de billets sous Windows XP


Les cybercambrioleurs deviennent de plus en plus innovants. Détecté au Mexique, un cheval de Troie permet de commander un distributeur de billets à distance, par simple SMS.

Comme 95% des distributeurs de billets fonctionnent encore sous Windows XP, ces appareils sont de plus en plus pris d’assaut par les cybercriminels. Et les attaques deviennent de plus en plus sophistiquées. Dans une note de blog, Symantec montre une méthode particulièrement étonnante, où il suffit d’envoyer un SMS pour tirer frauduleusement de l’argent.

Néanmoins, la phase de préparation de ce cyber-cambriolage est un peu compliquée, et pas vraiment accessible au premier venu. En effet, il faut avoir un accès physique à la partie intérieure du distributeur pour pouvoir infecter le PC. Concrètement, il s’agit de rebooter la machine après avoir inséré dans le lecteur optique un CD sur lequel se trouve le cheval de Troie en question. Une fois que le malware - qui s’appelle Backdoor.Ploutos.B - est installé, on connecte sur le PC un téléphone par câble USB, avant de remettre le distributeur en place. Ce téléphone servira de point d’accès distant au système du distributeur. C’est d’autant plus pratique que le terminal mobile est alimenté par le port USB. Pas besoin, par conséquent, de s’en occuper par la suite.

La méthode mexicaine en train d'être exportée 

Une fois cette phase de préparation terminée, les cybercriminels passent à l’action. Un premier envoie par SMS un code au téléphone embarqué, qui le transmet sous la forme d’un paquet TCP ou UDP. Ploutos reconnaît le code en question et génère la commande de retrait d’argent. Le pactole est ensuite retiré, ni vu connu, par un second voleur.

Selon Symantec, Backdoor.Ploutos.B est surtout utilisé au Mexique. L’existence d’une version en anglais suggère que les cybercriminels sont en train d’exporter leur méthode dans les pays anglo-saxons. Pas de quoi paniquer pour autant. D’après l’éditeur, il existe des solutions simples pour se protéger contre ce type d’attaque, à commencer par une mise à niveau du distributeur vers Windows 7 ou 8. Ensuite, il faut interdire au niveau du BIOS le démarrage par CD-ROM. Enfin, il faut bien surveiller le distributeur - par caméra vidéo par exemple - pour éviter qu’une personne non habilitée puisse y accéder.

Les distributeurs de billets sous XP particulièment vulnérables

Environ 95% des distributeurs automatiques de billets fonctionnent encore sous XP dont Microsoft a annoncé la fin du support. Une cible toute trouvée pour les hackers. Il reste toutefois plus facile d'attaquer "physiquement" un automate.

istributeurs de billets, matériel médical, chaine de production d'usine... Les systèmes embarqués fonctionnent depuis longtemps sous Windows XP. Car « c’est un système d’exploitation stable par rapport aux versions immédiatement suivantes de Windows » avance Gérome Billois, senior manager en risk management et sécurité de l’information au sein du cabinet Solucom.

De fait, une très grande partie des distributeurs automatiques de billets dans le monde tournent encore sous XP. Environ 95% de DAB selon Robert Johnson, directeur marketing chez NCR, cité par Bloomberg Businessweek. Or Microsoft a annoncé l’année dernière la fin du support en avril 2014. Même si depuis, la date a été repoussée à juillet 2015, le problème reste le même : les machines sous XP vont devoir migrer vers des systèmes plus récents pour éviter d’être la cible de hackers. Et il y a fort à parier que Microsoft n’accorde pas le même niveau d’attention à XP qu’aux OS suivants.

Profiter du changement d’OS pour faire une mise à jour fonctionnelle

Contrairement aux postes de travail, les équipements embarqués ont un nombre de fonctions limitées et connues. « Ils peuvent donc facilement être verrouillés » explique Gérome Billois. Et ils évoluent très lentement, beaucoup moins rapidement que des applications métiers classiques. Les mises à jour ne sont donc pas fréquentes. Et heureusement, car ces équipement sont très dispersés : dans la rue pour les distributeurs, dans des hôpitaux pour les scanners et autres IRM. Et ils sont très liés au matériel (clavier spécifique et coffre-fort dans le cas d’un distributeur).

« Au final, leur migration est parfois plus difficile à réaliser que celle d’un poste de travail » conclut Gérome Billois. Surtout que « les déploiements logiciels ne se font pas souvent à distance mais plutôt via une intervention physique » explique Alban Noguès, directeur chez CGI, en charge de l’innovation et des technologies dans le secteur bancaire. Même les correctifs d’XP ne sont pas toujours appliqués. « Si votre distributeur fonctionne et qu’il n’y a pas de risque avéré, le DSI va hésiter à appliquer un correctif » explique Alban Noguès.

Du coup, l’obsolescence d’XP a beau être programmée depuis longtemps, peu de machines ont déjà migrées vers un système plus récent comme Windows 7. Mais l’heure tourne et « de plus en plus de fraudes sont constatées » explique Alban Noguès. Les banques françaises ont donc commencé à envisager la migration et « en profitent pour changer leur stratégie de communication avec leurs clients ou avec ceux des autres banques via les distributeurs de billets » se félicite Alban Noguès. Ajouter des fonctionnalités métiers, aide à justifier l’évolution technique par un ROI (Retour sur investissement). Toujours utile, vu que la migration peut coûter cher quand elle s’accompagne d’une mise à jour matérielle auprès de fournisseurs comme NCR, Diebold ou Wincor Nixdorf.

Attaquer un distributeur à l’aide d’une clef USB

Plusieurs types d’attaques menacent les distributeurs de billets. La plupart du temps ils ne sont pas connectés directement à internet, mais « ils sont connectés au système d’information de l’entreprise. Pour vérifier, par exemple, le solde du compte ou proposer d’autres services que les retraits comme la consultation du nombre de points de fidélité » détaille Gérome Billois.

Et le SI est, lui, connecté à internet. Pour attaquer un distributeur, les pirates peuvent donc passer par les personnes chargées de leur maintenance ou n’importe qui ayant un accès au distributeur pour des raisons métier. « C’est ce qui s’est passé lors de l’attaque de la société américaine Target. Le SI a été attaqué pour pouvoir infecter les terminaux de paiement » explique Gérome Billois.

Selon Alban Noguès, la situation est cependant un peu différente en France. Contrairement aux SI américains, les banques françaises fonctionnent de manière centralisée. « Le contrôle et la surveillance sont donc plus simples qu’avec un fonctionnement en maillage réparti comme aux Etats-Unis » avance Alban Noguès. Il est possible d’isoler les systèmes en effectuant un cloisonnement réseau, et en chiffrant les échanges avec le SI. « Vous créez une bulle virtuelle chiffrée entre les distributeurs et le système de back-office utilisé pour les transactions. En France, cette pratique est très répandue » soutient Gérome Billois.

La plupart des attaques ont cependant lieux directement sur le distributeur. « Economiquement, il est plus simple de s’attaquer directement au terminal là où il se trouve que via sa liaison avec le SI de la banque » ajoute Alban Noguès. Récemment, des machines ont été piratées en insérant une clef USB dans le distributeur.

Les malfaiteurs perçaient un trou dans le distributeur pour atteindre le lecteur USB de la machine XP et y déposaient un virus. Ils refermaient ensuite consciencieusement le trou pour ne pas être repérés. Ils récupéraient ensuite la totalité de l’argent disponible. Conclusion : les ports USB des distributeurs n’auraient jamais dû être laissés ouverts. Pour les prémunir contre des attaques, les machines doivent être durcies. Autrement dit, elles sont paramétrées pour les rendre plus résistantes aux attaques en retirant tout ce qui n’est pas utile.