Lorsque nous pensons à la technologie infrarouge, notre esprit va dans de nombreuses directions différentes étant donné la variété des utilisations de cette technologie. Pour ceux qui suivent les nombreuses séries TV dramatico-criminelles, leurs pensées vont sans doute vers l’utilisation de la photographie infrarouge sur les scènes de crime. Pour les passionnés d’oiseaux, la vidéo infrarouge peut capturer les dépenses d’énergie de l’oiseau-mouche. Enfin, pour la plupart d’entre nous, nous pensons à la télécommande qui relie notre canapé, à notre télévision !
En fait, il existe un autre cas de figure à ajouter à cette liste, à savoir l’utilisation de la vidéo infrarouge pour transmettre les données capturées au niveau du distributeur de billets de votre banque, par des cybercriminels qui souhaiteraient cloner et utiliser vos cartes bancaires.
Cette nouvelle arnaque dernier cri au DAB a été repérée à Norman, dans l’Oklahoma, et selon la police de Norman, l’équipement qu’ils ont découvert en juin 2017 était mince et indétectable par la victime. Ce récupérateur de données avait une antenne intégrée qui servait à transférer les informations recueillies au niveau d’une minuscule caméra, qui pouvait scruter le clavier du DAB.
Le journaliste d’investigation en cybersécurité, Brian Krebs, a décortiqué davantage cette arnaque au DAB et a découvert que ces cybercriminels avaient réussi à mettre en œuvre, via la technologie infrarouge, non seulement la transmission des données capturées, mais aussi pour la transmission de la vidéo, elle-même, prise du clavier.
La technologie infrarouge pour le transfert de données n’est pas nouvelle !
L’utilisation de l’infrarouge comme moyen de transmission de données existe depuis plusieurs années et s’avère être un moyen très efficace de transmettre à des vitesses bien plus élevées que le Bluetooth et le WiFi.
En outre, l’utilisation d’un émetteur infrarouge réduit considérablement les chances de détecter les transmissions par inadvertance, en comparaison au WiFi ou au Bluetooth par exemple, qui sont présents d’ailleurs sur tous les smartphones.
Les cybercriminels se sont mis réellement en danger uniquement au moment où ils ont mis l’équipement et la caméra vidéo en place (Krebs a publié une photo des deux suspects d’Oklahoma), et lors de la réception du signal infrarouge (à proximité du DAB).
Vous auriez pu penser que ces cybercriminels étaient des nostalgiques de la Guerre Froide, car l’utilisation de ce concept de collecte, en mode différé, de données avait été largement perfectionnée, par le passé, par les Russes. En effet, le KGB a trafiqué plusieurs machines à écrire électriques, au sein de l’ambassade des États-Unis à Moscou dans les années 1980, afin de stocker les touches frappées et ensuite utiliser un flux de signaux pour transmettre les données vers les postes d’écoute à proximité. Les implants étaient, comme les équipements utilisés au niveau de ces DAB, profondément ancrés dans le matériel de la machine à écrire.
Les informations disponibles ne nous indiquent pas si ces équipements, pour récupérer les données au niveau des DAB, utilisaient une technologie infrarouge dirigée ou diffusée, un détail plutôt intéressant d’un point de vue défensif. En effet, si les cybercriminels avaient utilisé un infrarouge dirigé, leur point de collecte de donnée se trouvait à portée de vue de l’émetteur infrarouge. En d’autres termes, ils devaient voir l’ATM, et donc pouvaient être vu depuis ce dernier également !
Si leur signal infrarouge était de type diffus, leur point de collecte devait être uniquement à proximité du signal, car ce dernier était plus tolérant concernant les éventuelles perturbations dues à la ligne de visée et donc un peu plus difficile à repérer.
Les coûts toujours réduits de ces composants, de plus à l’accès facile, rendent ces composants jetables après utilisation. Plus simplement l’appareil est utilisé aussi longtemps que la batterie interne fournit de l’énergie, et ensuite terminé !
Que peuvent faire les institutions financières ?
- Examinez régulièrement la vidéo de surveillance de leurs DAB. Dans ce cas précis, il semble que les cybercriminels étaient visibles sur la vidéo du distributeur mais sans effectuer d’opérations.
- Installez une technologie sans contact, comme NFC (Near Field Communications), qui permettra aux utilisateurs d’utiliser leurs cartes de débit/crédit, leur clé électronique ou leur smartphone pour accéder à leurs comptes.
- Ou, comme cela a été récemment mis en place à Macao, par l’autorité monétaire de Macao, la technologie “Connaitre son client”, qui exige que chaque DAB utilise une technologie de reconnaissance faciale.
Que faire ?
La solution low-tech consiste à couvrir la main de votre clavier avec un journal ou votre autre main lorsque vous entrez votre code PIN, ce qui empêchera certainement toute personne de vous filmer lors de la saisie.
Billet inspiré de ATM crooks up the ante by using infrared to steal your PIN, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.