En Inde, en 2018, 13,5 millions de dollars ont été volés à une banque suite à une attaque coordonnée de ses distributeurs de billets. Plus près de nous, 60 000 euros ont été subtilisés en Moselle en avril 2019. Les distributeurs automatiques de billets sont ciblés par les criminels, qui exploitent une des technologies utilisées : le standard CEN/XFS (eXtensions for Financial Services, une norme pour les applications bancaires et notamment les distributeurs de billets).
Nous les connaissons sous les noms de DAB (Distributeur automatique de billets), GAB (Guichet automatique bancaire) ou encore, en anglais, ATM (Automated Teller Machine). Ce sont les distributeurs de billets et autres guichets automatiques que nous retrouvons dans les banques, magasins et espaces publics. Ces distributeurs existent depuis plus de 50 ans. Plus de 3 millions sont en fonctionnement dans le monde, chacun pouvant contenir un maximum de 10 000 billets, soit jusqu’à 150 000 euros de cash. C'est évidemment une cible de choix pour les criminels, qui s’intéressent de plus en plus à ces dispositifs.
Leur sécurisation est d’autant plus complexe que certains ne se limitent pas seulement à la distribution de billets (DAB), mais proposent d’autres services (GAB) : consultation des comptes, dépôt de cash ou chèques, opérations de virements, paiement de factures, rechargement de forfaits mobiles, etc. Cette évolution progressive se traduit par de nouvelles possibilités d’exploitations malveillantes.
Anatomie d’un DAB
Techniquement, un DAB/GAB est un PC relié à un écran (parfois tactile), une imprimante, un lecteur de carte, un clavier spécifique et des capteurs (caméra, lumière, présence, ouverture, etc.), sans oublier un coffre – le « cash dispenser » – qui contient les billets. Le tout fonctionne sous une version adaptée de Windows : Windows 7, voire Windows XP pour les modèles les plus anciens.
Une suite applicative est intégrée. C’est elle qui permet d’effectuer les transactions, de proposer des services spécifiques, d’assurer la surveillance du distributeur, d’en gérer la maintenance et de faire remonter les journaux à la banque. Pour dialoguer avec les serveurs de l’établissement bancaire, une connexion est présente : filaire (ADSL, Fibre) ou sans-fil (3G, 4G). Cette suite applicative s’appuie sur le standard CEN/XFS (eXtensions for Financial Services) qui permet de standardiser les interactions avec le matériel, et ainsi de rendre le logiciel portable entre différentes marques de distributeurs.
CEN/XFS : la porte d’entrée des pirates
Le malfaiteur ne va pas chercher à forcer le coffre. En effet, ce dernier, en cas de tentative d’ouverture, détruira les billets en les imprégnant d’encre. Il va tout simplement demander au distributeur de lui donner de l’argent en utilisant une commande XFS. C’est la technique du « JackPotting ». Le standard CEN/XFS propose une API permettant de lancer des ordres. Elle est simple, standardisée et sans authentification. La fonction WFS_CMD_CDM_DISPENSE permet ainsi de lancer la distribution d’argent. Un criminel disposant d’un accès physique à la machine pourra par ce biais s’adresser au coffre pour lui demander une somme d’argent. Ce type d’attaque peut s’effectuer avec un minimum de code (une cinquantaine de lignes seulement), en utilisant des fonctions XFS documentées publiquement. Il fonctionnera avec tous les distributeurs conformes au standard. Le pirate est certes limité à 50 billets par opération, mais à raison d’une vingtaine de secondes pour effectuer un retrait, il pourra vider un distributeur en un peu plus d’une heure.
L’accès au système reste nécessaire… mais pas impossible
Pour lancer une commande XFS, l’accès au système d’exploitation du distributeur est requis. Il peut s’effectuer de deux façons différentes: tout d’abord via le routeur Internet auquel l’appareil est connecté. Dans certains cas, un accès Wifi demeuré actif permettra d’accéder au réseau local de la machine. Le réseau peut aussi être accessible en Ethernet.
Dans les deux cas, il sera possible d’intercepter les flux de données, d’exploiter une faille logicielle (patch manquant, vulnérabilité 0-day) ou humaine (mot de passe trop faible). Seconde méthode, l’accès physique au PC. Les pare-feu et logiciels de protection auront bien du mal à résister aux attaques des pirates si ces derniers ont accès physiquement au PC. Plusieurs méthodes peuvent être utilisées :
- crochetage de la serrure verrouillant la cage de protection du PC ;
- déblocage de la serrure en passant par l’un des trous d’aération aménagés pour le PC ;
- utilisation d’une clé achetée sur Internet pour les DAB/GAB dont la serrure d’usine n’a pas été changée.
Les contre-mesures efficaces pour se protéger des attaques
La protection d’un distributeur de billets est tout d’abord physique :
- les prises et câbles réseau ne doivent pas être accessibles et il faut penser à changer la serrure d’usine du DAB/GAB ;
- le chiffrement de l’unité de stockage du PC permettra de rendre les données inaccessibles si le disque est connecté à une autre machine ;
- le réseau se doit d’être parfaitement sécurisé, en veillant par exemple à ce que le module Wifi du routeur ne soit pas actif.
- une installation simplifiée au maximum, afin de réduire la surface d’attaque ;
- une application des mises à jour, de l’OS et des applications ;
- l’installation d’un pare-feu et d’un antivirus ;
- le chiffrement de l’ensemble des communications.
Il convient, dans le même temps, de surveiller l’émergence de nouvelles attaques, via une veille active. Nous pouvons par exemple citer les faux dépôts d’argent, le vol de données bancaires ou encore la connexion directe du « cash dispenser » à un PC tiers.
