Quels risques pour les équipements spécifiques au monde de la banque de détail ?

L’un des thèmes chers à la sécurité informatique est la vulnérabilité potentielle du « endpoint », à savoir le point d’accès au système d’information : le matériel généralement directement en contact avec l’utilisateur final, source de tant d’inquiétude pour les RSSI.

Dans le monde de la banque de détail, le souci est double :

– d’une part, le RSSI de la banque n’a pas la main sur le matériel que son client utilise comme point d’accès : son téléphone, sa tablette, son ordinateur ou même désormais sa montre ou son bracelet connecté ;

– d’autre part, certains points d’accès sont si spécifiques à ce système qu’ils semblent oubliés des préoccupations des grands acteurs du secteur, comme les DAB (distributeurs automatiques de billets) et les TPE (terminaux de paiement)… mais pas des criminels !

Positive Technologie vient aisni de publier en novembre un rapport détaillé en provenance de NCR, Diebold Nixdorf et GRG Banking (à télécharger en ligne [1] ) expliquant comment il est possible de pirater des DAB. Dans cette étude, 85 % des DAB testés sont vulnérables aux attaques, dont 23 % à partir d’autres éléments (comme un routeur) présents sur le réseau où sont intégrés les distributeurs. Pire, ce type d’attaques ne met que 15 minutes à se mettre en place.

De même, Jean-Christophe Vitu, VP Solution Engineer de CyberArk, rappelle qu’en août 2018, la banque indienne Cosmos a été attaquée et plus de 2000 DAB répartis dans 28 pays différents ont été utilisés pour capter un butin dépassant à ce jour les 2 millions d’euros. « Carbanak a fait des petits », constate-t-il, en faisant référence à l’attaque informatique ayant ciblé les DAB dans de nombreux pays en simultané en 2015 [2] . S’il se veut rassurant, il a quand même quelques conseils à donner : « En France, nous avons investi énormément dans le système d’information interne qui contient la donnée, mais les infrastructures sont si importantes qu’il est difficile d’avoir un inventaire de tous les équipements, de s’assurer qu’ils sont tous dotés des dernières mises à jour de sécurité. Ne laissez pas les mots de passe par défaut et n’installez pas le même partout ! Sur les DAB, la partie machine est aussi importante, pas seulement la partie logicielle. Windows 10 a une vraie valeur ajoutée par rapport aux anciennes versions de système d’exploitation en matière de protection, car il permet de minimiser les possibilités de récupérer les logins et mot de passe dans la machine. »

Une quarantaine d’attaques logiques en France

Pour Thierry Gonnot, chef expert chez Die­bold Nixdorf, en charge de l’avant-vente et de la sécurité des automates bancaires France, « En France, nous avons la chance d’avoir un réseau de DAB relativement étanche ce qui rend ce réseau imperméable aux attaques. À ma connaissance, je n’ai pas vu d’attaque logique en France depuis plusieurs années. L’intrusion pour­rait se faire à partir de l’automate afin d’infec­ter le réseau, mais pour parer ce type d’attaque, Diebold Nixdorf propose des solutions logicielles adaptées et performantes qui permettent de proté­ger les automates. En 2020, plusieurs échéances techniques et réglementaires vont conduire au renouvellement d’une partie du parc de DAB, soit en changeant le distributeur, soit en chan­geant le PC à l’intérieur. Certaines règles, venues de PCI et de Cartes Bancaires « CB », demandent de renouveler les anciens claviers des automates. Enfin, le support de Microsoft s’arrête en 2020 pour Windows 7 et nous conseillons à nos clients de passer à Windows 10. Cela devrait normale­ment rajeunir le parc et améliorer la sécurité. La durée de vie d’un DAB est d’environ dix ans, en revanche, le PC est changé une à deux fois durant sa durée de vie. » Il note toutefois la présence en France d’une quarantaine d’attaques logiques de DAB l’an dernier, avec une connexion physique à l’appareil pour forcer la distribution de l’argent. « Le préjudice est relativement important, car les distributeurs contiennent quatre cassettes avec un maximum de 2 000 billets chacune. Avec un billet moyen à 20 €, le montant atteint 150 000 € par machine, sans compter la réparation physique. »

Si les constructeurs de DAB ont des méthodes éprouvées pour sécuriser les automates, que se passe-t-il lorsque la banque a choisi de désolidariser le matériel du logiciel dans ce domaine ? Pour Thierry Crespel, responsable France d’Auriga, éditeur de logiciels d’automate bancaire, « il y a un travail conjoint fait entre la banque, client final, et nous-mêmes, en tant qu’éditeur : nous devons durcir logiquement la machine, en verrouillant par exemple les ports USB. Nous empêchons certains processus de tourner, car ils sont réputés comme étant fragiles ; la banque a aussi des prérequis pas uniquement réservés aux automates. Nous sécurisons le tout au niveau du système d’exploitation. Nous travaillons en local sur la machine, en intégrant également des modules proposés par les constructeurs et validés par les banques. Dans notre logiciel, nous pouvons détecter sur une machine un comportement anormal, par exemple une trappe ouverte trop longtemps, si elle refuse trop de cartes ou fait des demandes de réinitialisation importante. Le système de monitoring est paramétré pour détecter ces comportements suspects d’automate et nous faisons évoluer nos règles métiers en fonction des nouvelles attaques détectées. Le canal de communication est également monitoré pour détecter les coupures de communication entre automates et serveur. Nous avons la main sur tout ce qui est présenté sur le distributeur ; si vous appelez un service qui n’est pas répertorié chez nous, ce serait bloqué immédiatement. »

Attaquer le TPE n’est pas rentable

Et dans le monde des terminaux de paiement ? Les problèmes sont similaires à ceux des DAB avec une difficulté supplémentaire : le terminal final n’est pas sous la responsabilité de la banque, mais de son client commerçant. Que ce soit Aevi (éditeur de logiciel TPE), VeriFone ou Ingenico, l’ensemble des prestataires doivent suivre les normes de PCI DSS [3] , des différents schémas de paiement (GIE Cartes bancaires, Visa, MasterCard, etc.) et d’éventuelles réglementations nationales avant de mettre leurs terminaux sur le marché. Comme l’explique Éric Brier, responsable de la sécurité chez Ingenico : « Le standard PCI PTS en est à la version 5, en attendant la version 6 en 2019. En revanche, ce standard PCI ne statue pas sur la question de savoir combien de temps le terminal va rester sur le terrain. » Cette décision relève des différents schémas de paiement, ce qui entraîne une certaine confusion. « Aujourd’hui, sur le terrain, coexistent de nombreuses versions de PCI : nous pouvons encore vendre des appareils avec la version 3 jusqu’en 2020, cette année les versions 1 dont la commercialisation a été arrêtée en 2014 arrivent en fin de vie. Il y a eu de gros changements de sécurité en passant à l’adoption de PCI première version puis PCI 2, depuis les écarts en exigence diminuent et sont plus souvent logiciels. Sur un parc avec des cartes EMV et des terminaux physiques à jour, le taux de fraude est marginal. Il y a eu marginalement des cas d’espionnages de ligne téléphonique, et dans des configurations assez anciennes, on peut avoir encore des numéros de carte circulant sur des lignes téléphoniques non chiffrées, mais le code PIN ne circule jamais en clair. Et là il y a des vecteurs d’attaques beaucoup plus rentables que de surveiller la communication entre le TPE et l’acquéreur. » Pour Éric Brier, l’essentiel de la fraude au TPE ne se fait pas en attaquant le terminal lui-même, mais en visant le serveur qui stocke les informations financières des clients chez le marchand ou son prestataire de services de paiement.