“Haut les mains !”, crièrent les vilains, brandissant à bout de bras une clef USB menaçante en direction du distributeur de billets. Non, cela ne s’est pas vraiment passé comme ça, mais il y a bien eu des distributeurs de billets (ou DAB) hackés à l’aide d’une clef USB.
L’histoire remonte à juillet dernier et concerne plusieurs distributeurs d’une banque européenne, qui a souhaité rester anonyme, pillés sans que le coffre-fort où les billets sont placés ne soit ouvert. La banque a contacté deux chercheurs en sécurité (qui ont également souhaité rester anonyme par peur des représailles), mais ont toutefois bien voulu donner quelques détails sur la procédure durant une intervention à l’occasion de la conférence Chaos Communication, ainsi qu’à Wired.
L’argent était en fait récupéré de manière nettement plus discrète. Les malfrats commencent par percer un trou dans la machine afin de découvrir le port USB de l’ordinateur – sous Windows XP – qui se trouve derrière. Ils y insèrent ensuite une clef USB vérolée qui force le redémarrage et exécute au passage le code malicieux. Ils referment la plaie béante et attendent quelques jours, le temps que le DAB soit approvisionné.
Il leur suffit ensuite de taper un code sur le pavé numérique du distributeur pour accéder directement à toutes les fonctions “monétaires” de la machine et retirer ce qu’ils souhaitent en toute tranquillité. Discret et efficace.
Les chercheurs expliquent que le malware était particulièrement abouti et la technique extrêmement bien huilée. Ils sont d’ailleurs quasiment certains que les malfrats avaient réussi à mettre la main sur un distributeur. Certainement via un complice ayant un accès à ces machines, le code étant écrit spécifiquement pour les machines de la banque attaquée.
Ils indiquent toutefois que n’importe quel organisme bancaire utilisant Windows XP est vulnérable, et s’étonnent que certains utilisent encore cet OS de Microsoft où les failles sont bien documentées. Toutefois, depuis la découverte du hack plusieurs banques auraient procédé à des corrections visant à empêcher le démarrage des machines via le port USB.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Forcement que les mecs connaissaient bien les machines. Percer dans le distributeur pour acceder au port USB en est la preuve.
le coup du “windows xp” quand même … sa craint…
Concernant windows xp, étant une véritable passoire, ne sera plus suivis par microsoft en 2014. Les banques ne font pas régulièrement appel à des consultants pour trouver une solution alternative? il me semblait que c’était une obligation pour un tel organisme.
Pour le coup du trou pour accéder à la machine (quel outillage ont il utilisés?), il devait forcément y avoir un complice pour leur indiquer où forer
@ultrapowner
J’ai déjà vu un DAB afficher un message d’erreur et effectivement c’était sous win xp.
@tetu Oui c’est assez courant en effet, j’avais croisé un mec qui réparais une station de vélib et … c’etais du windows xp … mais quand même une Banque ! enfin, windows xp est aussi bon en sécurité que moi en natation quoi ! (je nage comme un parpaing) … bref.
Après on s’étonne que des ptit malin comme sa s’y attaque, ils prenais pas de risque ils avais 48 000 facon d’arriver a leurs fin … bref.
il faut être fous pour faire tourner un distributeur sous microsoft alors que linux ou unix est plus performant
“étant écrit spécifique pour” -> “étant spécifique pour” ou “étant écrit spécifiquement pour”
Cette histoire pue à plein nez la propagande anti-XP de Microsoft pour faire acheter des licences récentes, je suis prêt à parier la totalité de mes revenus 2014 qu’elle est fausse et que ce sont eux qui sont derrière cette rumeur où bien sûr tout le monde est anonyme. Ca ne vous saute pas aux yeux, sérieusement ?
– Les soit-disant malfrats auraient pu y brancher un clavier à ce port usb, et faire tout ce qu’ils voulaient, peu importe l’OS.
– Désactiver l’exécution automatique corrigerait le problème sans changer d’OS.
– Placer l’ordinateur différemment corrigerait le problème sans changer d’OS.
– Mettre un plaque de metal devant l’ordinateur corrigerait le problème sans changer d’OS.
– Mettre du mastic dans les ports usb corrigerait le problème sans changer d’OS.
– Combien ça couterait aux banques de faire changer tous les trois ans l’OS de leurs DABs, et sur qui les banques répercuteraient ce coût ?
– “Ils referment la plaie béante et attendent quelques jours” J’aimerai bien savoir comment ils ont réussi à cacher un trou… Et j’aimerai bien savoir qui utiliserait un DAB sur lequel on voit une trace de bricolage…
– Tous les DAB ont une camera de surveillance, osez me dire qu’on ne peut pas repérer sur l’enregistrement des gars qui percent un trou plutôt que de tapoter normalement sur le clavier… Même s’ils étaient déguisés, les autres caméras dans la ville permettront de les suivre et voir le numéro d’immatriculation du véhicule qu’ils ont pris quelques rues plus loin. Personne n’a jamais arnaqué un distributeur sans se faire coincer au final, sauf dans les films.
Et pour finir : Même si c’est hors sujet car les DABs ne font évidemment pas les mises à jour et correctifs de l’OS, ça ne choque personne quand Microsoft avoue qu’ils n’ont pas été foutu de corriger des problèmes de sécurité tout simples même après douze ans de correctifs ? Ca montre clairement que ce n’est plutot pas dans leur intérêt de le faire !
Cet été ma carte bleue a été avalée par un DAB qui a ensuite planté, puis à redémarré tout seul et oh surprise … un windows 2000.
C’est aux banques de faire un peu plus attention. Embaucher des informaticiens leur ferait grand bien en même temps que de cesser d’harceler des clients pour leurs vendre des produits bancaires aussi inutiles que ruineux.
La plupart des pros utilisent Windows pour une simple raison : Microsoft assure le suivi des licences pro, en cas de pépin il suffit d’un technicien de niveau 1 pour passer un coup de fil à M$ et ils arrivent ou donnent des consignes au téléphone, chose qu’est pas possible avec une bonne partie des distrib Unix. Perso, je ne connais que Solaris et Red Hat qu’ont un support pro.
Et forcément, un technicien niveau 1, ça coûte moins cher qu’une équipe de tech qualifié capable de régler eux même tous les problèmes qu’ils peuvent rencontrer 🙂
@Buzz : Je pense qu’on parle pas de claviers USB, mais plus de clés USB qui exécutent des scripts, genre celle là : http://hakshop.myshopify.com/products/usb-rubber-ducky
Moi je dis que c’est bien fait !
La connerie on la paye.
Windows XP avec sa passoire pour le particulier = parfait (conférer une vidéo; len Hors Sujet :
http://www.youtube.com/watch?v=3Uc0S4zqj9Y
)
mais pour une banque, dédéigner LINUX ou UNIX et faire appel à des charlatans, ça se paye.
LINUX ignoré de tous ? très bien. L’ignorance et le dédain on le paye un jour ou l’autre. Bravo les voleurs !
Arrêté votre science à deux franc six sous, xp une passoire peut-être, et changer de d’OS n’y changerait rien. Les pc ne sont connectés à aucun réseau. Alors ou est le danger?? Aucun. Pour qu’il y une faille, il faut que le pc soit en accès. Et il est bien là le problème l’accès au pc, pas l’os. Windows embarqué est rependue sur la majorité des équipements que vous côtoyer, caisse supermarché, station service et compagnie….
Il y a vraiment de dab sous windows xp, près de mon lieu de travail, il y en a une bonne rangé et quand ils tombent en panne c’est vraiment windows xp qu on voit. Il faudrait qu il les change parce que xp est obsolete…
dans la banque ou je bosse (je suis consultant), on commence juste a passer sous seven..et encore c pas encore pret/fait :/
malheureusement c pas une exception cette banque : toutes sont confrontées au pb suivant : la migration a une nouvelle version d’os c pas transparent !
pkoi ? ben softs concus pour tourner que sous xp…et seven occasionne pleins de soucis a cause de ses regles de securité parfois trop drastiques, faut donc repenser les applis pour seven
tu ajoutes aussi les pseudos webdeveloppeur du dimanche qui reprensent 90% de la profession maintenant, les rois du framework ou du code “optimisé” ie comme ils disent
pas foutu de coder une ligne de code ou de respecter de vrais standards
du coup le passage de ie6 a 7 puis 8 puis 9 et maintenant 10, meme ca ca marche pas (et pourtant c en asp.net leur intranet mdr !!)
enfin pour les dabs le gros pb, plus qu’ xp lui-meme, c l’acces au port usb et le fait de pouvoir faire rebooter le dab via la clé…..ca me parait qd meme super gros ! c un fail ou un hoax ce truc ?
buzz, ou “la théorie du complot”. Tout n’est que mensonge, on nous ment. La vie n’existe pas. Dieu est mort d’une grippe et peter pan et mon père… Ah, et les avions ne volent pas, et la lune est une grosse image truquée dans le ciel.
Mouais si des banques utilise encore windows Xp sa craint surtout niveau sécurité on sait depuis un moment que c’est pas top.
Je rejoins damrod, dans certaines boites, ils tournent même encore sur du Win NT car les softs pilotant les machines (et ne pas penser que ce sont des machines datant de perpet, c’est pour les CMS sur circuit imprimé par exemple.) ne sont compatibles qu’avec ça.
C’est bien beau de parler de changement d’OS, mais si les softs ne suivent pas, bah t’as pas le choix que d’y rester.
Parce que les autres windows sont peut-êtres secure ? ha ha ha… pas comme c’était bourrés de failles connues mais jamais patchées (y compris win8 et ses failles découverts sur d’anciens windows), sans parler des backdoors
micro$oft est trop occupé à foutre des spywares dans tous ses produits (et à favoriser l’obsolescence programmée) donc sa politique orwellienne et son modèle de developpement closed source s’opposent à amélioration de sécurité…
Il faut une tour ou une unité centrale pour gérer un distributeur ? ? ? C’est bidon ! Les concepteurs ils étaient pas obligés de mettre des USB en façade…
Le fait que ce soit sous win XP a la limite c’est pas vraiment un problème, c’est juste une question de coût…
Xp, 7, 8, linux, Unix, osx peu importe l os le résultat aurait été le meme le problème c est le hard bcp trop “ouvert”
Je bosse en banque, avec accès aux DAB et on a bien WinXP, et ils sont connectés au réseau. Donc… Mais après dans ma banque on passe a Seven dans les deux prochain mois.
Après Win XP a l’avantage c’est qu’au fin fond de la creuse, on peut avoir un gars qui s’y connait un peut en cas de plantage pour avoir notre hotline et faire ce qu’il faut pour remettre en route le DAB. L’environnement est familier, avec Unix c’est pas tout a fait çà!
Qui sont les voleurs, les banques et le gouvernement qui vous obligent a avoir un compte bancaire et vous font des crédits a taux usuriers ou les soits disant malfrat qui trouvent une faille dans le système? Je pose la question mais pour ma part la réponse est claire c’est la première catégorie de personnes…
Et bravo a la deuxième catégorie si elle a réussi sans violence a récupérer un peu de l’argent qui nous appartient, continuez…
Ca me rappelle une fenêtre Windows XP ou 2000 (difficile à dire car c’était avec le thème Windows classique) que j’ai vu lors de mon dernier retrait : “SecureClient failed to start due to an internal error. Note : without SecureClient running, your machine is not protected. Please contact your system administrator.”
J’avais trouvé ça assez drôle sur le moment de voir une vielle fenêtre Windows sur un distributeur….
bravo, respect pour ces bandit, eux au moins il s’attaquent pas au petites vielles dans la rue, et prennent le pognon a la source du mal : la banque
Linux ou Windows il n’y à pas de système sans faille. Il suffit de savoir faire XP ou autre.