Pirater les distributeurs automatiques de billets, c’est possible. La démonstration en a été faite lors de la conférence Black Hat, qui s’est terminée ce 28 juillet à Las Vegas, par le chercheur en sécurité Barnaby Jack, également directeur des recherches chez IOActive Labs.
Il a ainsi mis à l’épreuve deux distributeurs automatiques de billets (DAB), de la marque Triton et Tranax, tournant sous le système d’exploitation Windows CE.
Pour mener à bien un premier piratage sur la machine Tranax, Barnaby Jack a utilisé un logiciel développé par lui-même et baptisé Dillinger, capable de contourner les protections du système embarqué sur ce DAB, pour peu qu’il soit connecté à Internet ou à une ligne téléphonique, ce qui est bien le cas de la très grande majorité des distributeurs automatiques de billets.
Le chercheur a ainsi réussi à accéder au système pilotant le DAB grâce au piratage par son logiciel de la fonctionnalité d’administration à distance du distributeur de billet, qui lui a permis d’exploiter une faille au niveau de la procédure d’authentification.
Une fois entré dans le système, Barnaby Jack a fait appel à un rootkit maison nommé Scrooge pour prendre le contrôle de la machine et lui permettre de retirer des dizaines de dollars à volonté.
Lors d’une deuxième attaque effectuée sur le DAB Triton, ce hacker a tout simplement acheté sur le Web une clef maître afin d’accéder au capot et au squelette de la machine. Il a ensuite suffit à Barnaby Jack de propager dans le système un malware véhiculé grâce à une simple clef USB.
Ce logiciel malveillant lui a permis de prendre le contrôle du distributeur automatique de billets en exploitant une faille de sécurité qui autorise n’importe quel programme non signé à s’exécuter.
En plus de lui offrir l’opportunité de retirer des billets de banque à volonté, le piratage de ces DAB, souligne Barnaby Jack, lui a permis d’avoir accès aux numéros de cartes bancaires et aux codes confidentiels des usagers s’étant récemment servis de ces distributeurs automatiques…
Ce chercheur en sécurité n’a évidemment pas manqué de signaler les failles de sécurité exploitées aux constructeurs concernés.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…