Un distributeur d'argent piraté se transforme en machine à sous
Les distributeurs rêvent-ils de casinos électriques?
Les chercheurs en sécurité se font un malin plaisir de nous prouver que tout ce qui contient une puce électronique peut être piraté. Tout.
Que ce soit une voiture, ou une puce RFID sous-cutanée, aucun appareil n'est à l'abri, même pas les distributeurs d'argents. Mercredi, lors de la conférence Black Hat à Las Vegas, le chercheur Barnaby Jack en a fait la démonstration sur deux distributeurs, des marques Triton et Tranax, mais selon lui il connait les vulnérabilités pour deux autres machines dont il ne peut dévoiler les noms puisque ces recherches appartiennent à son ancien employeur.
Ces ATM (noms des distributeurs d'argent en anglais) sont de ceux que l'on trouve dans les magasins, mais le chercheur n'exclu pas que des failles soient aussi présentes dans les modèles utilisés par les banques. Il ne les a simplement pas encore examinés.
Des distributeurs qui font "Jackpot"
Lors de sa présentation, et en hommage à Las Vegas qui accueille la conférence, Barnaby Jack a transformé un des ATM en machine à sous en mode Jackpot : elle s'est vidée de ses billets devant l'audience, aux anges :
Il a ensuite expliqué sa manière de procéder. L'une des machines, celle de Tranax, est par défaut accessible à distance, selon les modèles soit par Internet, soit par un bon vieux modem RTC, et a pu être piratée à distance (pour les RTC il faut procéder par wardialing. Le constructeur conseille d'ailleurs désormais à ses clients de désactiver cette fonction). Dans cet accès à distance elle souffre d'une vulnérabilité permettant de contourner l'authentification, exploitée par le chercheur pour sa démonstration.
Pour l'autre, celle de Triton, il faut avoir une clé pour ouvrir son capot, mais elle est standard, et disponible à 10 $ sur Internet selon le chercheur. Et là, l'insertion d'une clé USB contenant les malware du chercheur lui a permis d'en prendre le contrôle, la machine souffrant d'une faille de sécurité autorisant les programmes non signés à s'exécuter.
Une fois les machines infectées, il peut les utiliser pour enregistrer les numéros de cartes et les codes confidentiels des clients, ou pour se faire donner tout l'argent qu'elles contiennent sans qu'elles enregistrent la transaction. Sachant qu'un ATM dans une banque peut contenir jusqu'à 600 000 dollars, un hacker mal intentionné pourrait facilement s'enrichir grâce à ces failles.
Il connaît ces failles depuis plus d'un an et les a évidemment signalées aux fabricants. Ces derniers ont publié des patchs correctifs : Triton a par exemple publié un patch il y a huit mois. Signalons que ces deux distributeurs d'argent fonctionnent sous Windows CE...
Que ce soit une voiture, ou une puce RFID sous-cutanée, aucun appareil n'est à l'abri, même pas les distributeurs d'argents. Mercredi, lors de la conférence Black Hat à Las Vegas, le chercheur Barnaby Jack en a fait la démonstration sur deux distributeurs, des marques Triton et Tranax, mais selon lui il connait les vulnérabilités pour deux autres machines dont il ne peut dévoiler les noms puisque ces recherches appartiennent à son ancien employeur.
Ces ATM (noms des distributeurs d'argent en anglais) sont de ceux que l'on trouve dans les magasins, mais le chercheur n'exclu pas que des failles soient aussi présentes dans les modèles utilisés par les banques. Il ne les a simplement pas encore examinés.
Des distributeurs qui font "Jackpot"
Lors de sa présentation, et en hommage à Las Vegas qui accueille la conférence, Barnaby Jack a transformé un des ATM en machine à sous en mode Jackpot : elle s'est vidée de ses billets devant l'audience, aux anges :
Il a ensuite expliqué sa manière de procéder. L'une des machines, celle de Tranax, est par défaut accessible à distance, selon les modèles soit par Internet, soit par un bon vieux modem RTC, et a pu être piratée à distance (pour les RTC il faut procéder par wardialing. Le constructeur conseille d'ailleurs désormais à ses clients de désactiver cette fonction). Dans cet accès à distance elle souffre d'une vulnérabilité permettant de contourner l'authentification, exploitée par le chercheur pour sa démonstration.
Pour l'autre, celle de Triton, il faut avoir une clé pour ouvrir son capot, mais elle est standard, et disponible à 10 $ sur Internet selon le chercheur. Et là, l'insertion d'une clé USB contenant les malware du chercheur lui a permis d'en prendre le contrôle, la machine souffrant d'une faille de sécurité autorisant les programmes non signés à s'exécuter.
Une fois les machines infectées, il peut les utiliser pour enregistrer les numéros de cartes et les codes confidentiels des clients, ou pour se faire donner tout l'argent qu'elles contiennent sans qu'elles enregistrent la transaction. Sachant qu'un ATM dans une banque peut contenir jusqu'à 600 000 dollars, un hacker mal intentionné pourrait facilement s'enrichir grâce à ces failles.
Il connaît ces failles depuis plus d'un an et les a évidemment signalées aux fabricants. Ces derniers ont publié des patchs correctifs : Triton a par exemple publié un patch il y a huit mois. Signalons que ces deux distributeurs d'argent fonctionnent sous Windows CE...
Source :
Wired.com
Jeff
le 29 juillet 2010 à 18:21
(49 697
lectures)
Actualités et brèves relatives
- 22 / 07 / 2010 : Google augmente aussi sa prime au bug : jusqu'à 3133,7 $
- 19 / 07 / 2010 : Windows : une faille 0-day et un rootkit bien particulier
- 19 / 07 / 2010 : Mozilla offre désormais 3 000 $ par faille critique découverte
- 05 / 07 / 2010 : Des réseaux de smartphones zombies apparaissent
- 27 / 05 / 2010 : RFID : Le virus (informatique) dans la peau
- 18 / 05 / 2010 : Des chercheurs parviennent à hacker une voiture
- 06 / 06 / 2007 : Trous de sécurité dans les passeports biométriques belges
- 31 / 07 / 2004 : Les puces RFID futures cibles des hackeurs ?
