Un distributeur d'argent piraté se transforme en machine à sous

Les chercheurs en sécurité se font un malin plaisir de nous prouver que tout ce qui contient une puce électronique peut être piraté. Tout.

Que ce soit une voiture, ou une puce RFID sous-cutanée, aucun appareil n'est à l'abri, même pas les distributeurs d'argents. Mercredi, lors de la conférence Black Hat à Las Vegas, le chercheur Barnaby Jack en a fait la démonstration sur deux distributeurs, des marques Triton et Tranax, mais selon lui il connait les vulnérabilités pour deux autres machines dont il ne peut dévoiler les noms puisque ces recherches appartiennent à son ancien employeur.

ATM hack

Ces ATM (noms des distributeurs d'argent en anglais) sont de ceux que l'on trouve dans les magasins, mais le chercheur n'exclu pas que des failles soient aussi présentes dans les modèles utilisés par les banques. Il ne les a simplement pas encore examinés.

Des distributeurs qui font "Jackpot"

Lors de sa présentation, et en hommage à Las Vegas qui accueille la conférence, Barnaby Jack a transformé un des ATM en machine à sous en mode Jackpot : elle s'est vidée de ses billets devant l'audience, aux anges :


Il a ensuite expliqué sa manière de procéder. L'une des machines, celle de Tranax, est par défaut accessible à distance, selon les modèles soit par Internet, soit par un bon vieux modem RTC, et a pu être piratée à distance (pour les RTC il faut procéder par wardialing. Le constructeur conseille d'ailleurs désormais à ses clients de désactiver cette fonction). Dans cet accès à distance elle souffre d'une vulnérabilité permettant de contourner l'authentification, exploitée par le chercheur pour sa démonstration.

Pour l'autre, celle de Triton, il faut avoir une clé pour ouvrir son capot, mais elle est standard, et disponible à 10 $ sur Internet selon le chercheur. Et là, l'insertion d'une clé USB contenant les malware du chercheur lui a permis d'en prendre le contrôle, la machine souffrant d'une faille de sécurité autorisant les programmes non signés à s'exécuter.

Une fois les machines infectées, il peut les utiliser pour enregistrer les numéros de cartes et les codes confidentiels des clients, ou pour se faire donner tout l'argent qu'elles contiennent sans qu'elles enregistrent la transaction. Sachant qu'un ATM dans une banque peut contenir jusqu'à 600 000 dollars, un hacker mal intentionné pourrait facilement s'enrichir grâce à ces failles.

Il connaît ces failles depuis plus d'un an et les a évidemment signalées aux fabricants. Ces derniers ont publié des patchs correctifs : Triton a par exemple publié un patch il y a huit mois. Signalons que ces deux distributeurs d'argent fonctionnent sous Windows CE...

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !