Combien d’utilisateurs d’ordinateurs utilisent encore régulièrement Windows XP ?
C’est une question piège, bien sûr, car la réponse est que des millions de personnes le font en réalité en retirant de l’argent dans des distributeurs automatiques de billets, on les appelle aussi les DAB. La plupart utilisent encore une variante de ce système d’exploitation pourtant déjà mort et enterré !
C’est une constatation qui ressort de la nouvelle enquête sur la sécurité des distributeurs automatiques menée par Positive Technologies, et qui révèle que 15 des 26 architectures courantes testées utilisaient des versions intégrées de XP.
Le rapport ne fait pas la différence entre Windows XP et les différents produits Windows Embedded basés sur celui-ci, mais en termes technologiques, ils sont tous archaïques. XP a rendu son dernier souffle en avril 2014, tout comme Windows XP Professionnel pour les systèmes embarqués. La plupart des autres produits embarqués et basés sur XP ont également été arrêtés, et il ne reste que quelques mois à ceux qui ont encore du retard.
Huit autres types de distributeurs automatiques utilisaient Windows 7, alors que trois seulement utilisaient Windows 10. Bien que la cybersécurité des distributeurs automatiques ne soit pas limitée à la version utilisée, le fait que plus de la moitié utilisait un système d’exploitation, qualifié par Microsoft de quasiment impossible à sécuriser, pose un réel problème.
Une vérification rapide de Sophos révèle toute une série d’histoires de vulnérabilités concernant les distributeurs automatiques, dont l’avertissement du FBI, daté du mois d’août dernier, concernant les retraits multinationaux et une vague d’attaques de type “jackpotting”.
Vient ensuite la tendance récente des attaques de type “black box” qui consiste à percer un trou dans la machine afin de brancher un mini-ordinateur (le Raspberry Pi étant une option assez populaire) pour donner des instructions aux distributeurs automatiques afin de pouvoir retirer de l’argent.
Un sacré bazar !
En analysant plus en profondeur le rapport de Positive, il n’est pas difficile de comprendre pourquoi les attaques continuent de se produire. Les chercheurs ont découvert des faiblesses à tous les niveaux de l’architecture de sécurité.
Au niveau de la sécurité la plus élémentaire, à savoir le chiffrement des disques durs internes pour empêcher les attaquants de copier des malwares, seuls deux sur 26 bénéficiaient de cette protection.
Dans un quart des distributeurs automatiques, il était possible de contourner la sécurité en se connectant et en démarrant à partir d’un périphérique externe, en modifiant l’ordre de démarrage dans le BIOS “ancienne époque” (aucun UEFI ou authentification présent) et en configurant le distributeur automatique pour lancer un malware.
Onze autres ont pu être démarrés en mode sans échec, de restauration des services active directory (DSRM) ou Kernel Debug, un moyen simple de contourner les contrôles de sécurité. De même, pour 20 machines, il a été possible de forcer un distributeur automatique à sortir du mode kiosque.
L’équipe a même découvert des failles auparavant inconnues dans le logiciel de sécurité censé protéger les distributeurs automatiques.
Qu’en est-il des attaques courantes ?
Par exemple, les attaques par usurpation d’identité permettent à des attaquants de s’immiscer entre le distributeur automatique et le centre de traitement afin de l’inciter à donner de l’argent par le biais de fausses commandes. Un peu plus du quart des vulnérabilités découvertes permettait une telle opération.
Pendant ce temps, la récupération des données de carte au niveau de la piste magnétique, soit directement pendant l’utilisation, soit ultérieurement lors du transfert du distributeur vers un processeur, s’est avérée possible pour tous les distributeurs automatiques testés.
Pour ce qui est des attaques de type “black box”, 18 étaient vulnérables vis à vis de ce type de menace.
Les seuls arguments pour la défense des fabricants de distributeurs automatiques face à de tels tests, étaient que tous nécessitaient un certain temps, généralement quelques minutes, ainsi qu’un accès frontal, non perturbé, au niveau de l’armoire du distributeur automatique.
Leigh-Anne Galloway, responsable de la cyber-résilience chez Positive a déclaré :
Pour réduire le risque d’attaque et accélérer la réaction face à ces menaces, la première étape consiste à sécuriser physiquement les distributeurs automatiques, ainsi qu’à mettre en œuvre la journalisation et la surveillance des événements de sécurité au niveau des distributeurs automatiques et des infrastructures associées.
Le rapport recommande ensuite certaines précautions habituelles, à savoir que les données échangées avec le lecteur de carte doivent être chiffrées et que les fabricants doivent prendre des mesures pour empêcher toute exécution arbitraire de code et toute attaque de type “homme du milieu” entre le DAB et le centre de traitement.
En d’autres termes : les distributeurs automatiques ne sont, en fin de compte, que des ordinateurs (mais avec un système d’exploitation bien plus ancien que le vôtre !).
Billet inspiré de How to rob an ATM? Let me count the ways…, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.