Une nouvelle menace plane sur les distributeurs automatiques de billets

14 - Février - 2017

Des chercheurs en sécurité informatique ont découvert une faiblesse des DAB, difficilement détectable à ce jour.

Les distributeurs automatiques de billets restent une cible appréciée des pirates informatiques. Selon une étude publiée par Kaspersky , une entreprise spécialisée en cybersécurité, et relayée par 01Net , les "DAB" seraient vulnérables à une attaque informatique perfectionnée et surtout, discrète. Cette attaque a été détectée 10 fois en France, rapporte Kaspersky. C'est le deuxième pays à être autant ciblé après les Etats-Unis.

La méthode est assez ingénieuse. "Alors que les virus que l'on connaît aujourd'hui écrivent des fichiers sur le disque dur du DAB, cette nouvelle génération d'attaques va s'en prendre à la mémoire vive, ce qui ne laisse aucune trace", décrit Daniel Fages, directeur technique de Stormshield, une entreprise française spécialisée, aux "Echos". Une fois introduit dans le système, qui est peu ou prou un ordinateur, l'attaquant va pouvoir prendre le contrôle de la machine à distance, à n'importe quel moment. L'attaque a un nom : "fileless malware", ou malware "sans fichier", en bon français.

A partir de là, tout est possible. "L'attaquant peut faire sortir des billets comme il l'entend, ou bien capturer les données des utilisateurs qui retirent des billets dans le DAB infecté", décrit Daniel Fages.
Les DAB, pas réellement protégés

Cette vulnérabilité est d'autant plus importante que les distributeurs ne sont que très rarement mis à jour aujourd'hui. Si certaines banques disposent de protection contre les virus "classiques", très souvent, elles s'en contentent. "Tant que ça marche, on ne touche pas", résume Daniel Fages.

Difficulté supplémentaire : les DAB sont produits sur un mode industriel. Une faille telle que celle-ci peut donc fonctionner sur de très nombreux appareils.
Une attaque difficile à réaliser

Néanmoins, une telle attaque n'est pas facile à réaliser. Pour infiltrer la mémoire vive du distributeur, il faut d'abord avoir infecté le réseau qui relie les DAB d'une même banque entre eux. Ce réseau, souvent interne, n'est pas directement exposé à Internet et donc à une attaque.

"Les attaquants capables d'une telle manoeuvre ont des moyens et de très bonnes connaissances techniques", estime Daniel Fages.
Une sécurité : protéger son code PIN

Qui plus est, si les attaquants décident de s'en prendre aux données des utilisateurs, ces derniers restent protégés par leur code PIN. De fait, le lecteur de carte est indépendant du système qui gère le distributeur, ce qui laisse une sécurité importante aux utilisateurs.

"L'important, c'est vraiment de protéger avec sa main le clavier lorsque l'on tape son code", conseille Daniel Fages, qui pointe l'utilisation de caméras par certains groupes très organisés. Si ce conseil est suivi, les attaquants n'auront "que" l'empreinte de la carte bleue, qui reste inutilisable sans code PIN.

lesechos.fr

 

Commentaires
0 commentaire
Laisser un commentaire
Recopiez les lettres afficher ci-dessous : Image de Contrôle

Autres actualités

02 - Septembre - 2024

Voyage en Chine : Deux lauréats du concours général dans la délégation du Président Faye

Dans le cadre de sa visite d’Etat en Chine, suivi du FOCAC prévu du 4 au 6 septembre le Président de la République Bassirou Diomaye Faye s’est...

30 - Août - 2024

Premier Bet Sénégal vs Fisc : Gros rebondissement, le directeur placé sous bracelet électrique

Le directeur général de Premier Bet Sénégal, Joris Dutel, épinglé pour fraude fiscale et détournement de deniers publics portant sur 12 milliards...

26 - Août - 2024

Sérigne Guèye Diop, ministre de l'industrie et du commerce : « CE QU’ON IMPORTE C’EST L’ÉQUIVALENT DU BUDGET DU SÉNÉGAL QUI EST À L’ORDRE DE 6000 MILLIARDS DE F CFA »

Docteur Serigne Gueye Diop, ministre de l’Industrie et du Commerce par ailleurs ancien maire de la commune de Sandiara a déclaré que le Sénégal importe 2500...

21 - Août - 2024

Conseil interministériel spécial sur les infrastructures maritimes et portuaires : l’Etat, en quête de hub

Le nouveau pouvoir s’active à imprimer son label pour booster les infrastructures maritimes et portuaires afin de faire du Sénégal un véritable hub. En Conseil...

19 - Août - 2024

Société nationale de recouvrement : Près de 1000 milliards F CFA impayés, des moratoires proposés

La Société nationale de recouvrement (Snr) fait face à des créances impayées évaluées à près de 1000 milliards F Cfa....