Posté le août 7, 2020 à 20:59

DES CHERCHEURS RÉVÈLENT QUE LES DISTRIBUTEURS AUTOMATIQUES DE BILLETS SONT VULNÉRABLES AUX ATTAQUES DE JACKPOTTING, LES FAISANT CRACHER DE L’ARGENT

Lors de la conférence Black Hat en 2010, feu Barnaby Jack, qui était un chercheur renommé dans le domaine de la sécurité, a pu pirater un distributeur automatique de billets en direct en le faisant cracher un flot de billets. La méthode de piratage qu’il a utilisée a été correctement appelée « jackpotting ».

Dix ans après la présentation de la superproduction de Barnaby Jack, les chercheurs en sécurité veulent présenter les nouvelles vulnérabilités des distributeurs automatiques de billets de Nautilus.

Cependant, ils ne présentent pas les leurs en direct comme l’a fait Jack en raison des restrictions de collecte pendant cette pandémie de coronavirus.

Les chercheurs en sécurité de Trey Keown et Brenda So, de l’entreprise de sécurité Red Balloon, ont révélé que leurs deux vulnérabilités leur permettaient de confondre un distributeur automatique de billets populaire habituellement vu dans les magasins plutôt que ceux des banques. Les chercheurs ont déclaré qu’ils trompaient le distributeur pour qu’il distribue de l’argent à leur demande.

Les guichets automatiques présentent des vulnérabilités qui demeurent latentes pendant plusieurs années

Les chercheurs en sécurité affirment que le hacker devrait partager le même réseau avec les distributeurs automatiques ciblés avant de pouvoir réussir. Mais leurs recherches ont montré que certains distributeurs automatiques peuvent être vulnérables pendant de nombreuses années sans qu’aucune mesure ne soit prise pour remédier à ces vulnérabilités ou les corriger. Et dans une certaine mesure, les vulnérabilités ont commencé à exister lorsque les distributeurs automatiques ont été construits pour la première fois.

Les chercheurs ont révélé que les nouvelles vulnérabilités des guichets automatiques ciblent le logiciel sous-jacent des guichets Nautilus, qui est la version du système Windows datant de 10 ans que Microsoft ne supporte plus. Les deux chercheurs ont d’abord examiné un exemple de distributeur automatique de billets pour en voir les fonctionnalités. Après un peu de documentation, ils ont dû procéder à une rétroconception du logiciel pour en comprendre le fonctionnement.

Au départ, ils ont trouvé une vulnérabilité dans un logiciel de guichet automatique appelé Extensions for Financial Services (XFS).

Les DAB utilisent ce service pour dialoguer avec différents composants matériels tels que les distributeurs de billets et les lecteurs de cartes.

Cependant, la vulnérabilité n’était pas dans XFS lui-même, mais dans la façon dont le fabricant du DAB a exécuté la couche logicielle dans leurs DABs.

Le chercheur a découvert que lorsqu’un hacker envoie une requête malveillante spécialement conçue au réseau, il peut rapidement déclencher le déversement de l’argent à l’intérieur du distributeur automatique.

Outre cette vulnérabilité, les deux chercheurs ont exploité une autre vulnérabilité. La seconde vulnérabilité a été découverte dans le logiciel de gestion à distance du DAB, qui a été intégré pour permettre aux propriétaires de distributeurs automatiques d’organiser et de gérer efficacement les différents systèmes.

Les propriétaires de distributeurs automatiques utilisent l’outil pour mettre à jour le logiciel du distributeur et vérifier la quantité d’argent restant dans la machine. Il aide les propriétaires à tenir des registres de distribution d’argent et à déterminer le bon moment pour ajouter de l’argent à la machine. Lorsque le hacker déclenche le bug, il peut permettre au hacker d’accéder à un paramètre défaillant du DAB.

Les hackers peuvent s’infiltrer dans les distributeurs de billets avec des applications malveillantes

Le chercheur a donc révélé qu’il était possible pour le hacker d’utiliser un serveur malveillant contrôlé par un hacker pour échanger le processeur de paiement du DAB, surtout si celui-ci est vulnérable. Les hackers peuvent retirer de l’argent du DAB après être passés sur le serveur malveillant.

 « En faisant pointer un distributeur automatique de billets vers un serveur malveillant, nous pouvons extraire les numéros de cartes de crédit », a-t-il souligné.

Bloomberg a initialement signalé la vulnérabilité du DAB l’année dernière, lorsqu’ils ont secrètement révélé leurs découvertes à Nautilus. Dans le rapport, les chercheurs ont indiqué que près de 800 000 distributeurs automatiques de billets aux États-Unis étaient vulnérables avant la mise à jour. Les chercheurs ont déclaré que Nautilus n’avait pas répondu lorsqu’ils ont contacté la société.

Les opérations de jackpotting sont rares mais possibles

Bien que la plupart des attaques de jackpotting ne soient guère couronnées de succès, ce que feu Jack a réalisé a montré qu’il est tout à fait possible de pirater des DABs vulnérables et de les reconfigurer pour commencer à distribuer de l’argent. Il y a eu très peu d’attaques de jackpotting réussies ces dernières années.

Cependant, les hackers ont utilisé différentes techniques pour atteindre le même objectif de jackpotting dans le passé. Il y a trois ans, un groupe a été vu en train de mener des opérations de jackpotting à travers l’Europe, volant des millions d’euros dans la foulée.