Des chercheurs ont découvert deux failles importantes dans des distributeurs automatiques aux États-Unis qui permettraient à des pirates informatiques d’accéder aux données des clients et de leur voler de l’argent. Il ne s’agit pas d’un cas isolé, plusieurs vulnérabilités de ce type ont été relevées, mais il semblerait que le problème soit quelque peu ignoré.

Des failles qui s’accumulent

Brenda So et Trey Keown, travaillant pour la société Red Balloon Security, spécialisée dans la cybersécurité, ont découvert une faille dans les machines construites par Nautilus Hyosung America, le plus grand fournisseur de distributeurs automatiques des États-Unis. Les chercheurs ont pu accéder au réseau utilisé par les distributeurs et prendre ainsi le contrôle total de plusieurs machines. En contournant ainsi les mesures de sécurité, ils seraient capables de cibler les comptes de clients.

Selon les spécialistes de Red Balloon, plus de 80 000 distributeurs (DAB) seraient ainsi vulnérables. Nautilus a cependant déclaré n’avoir repéré aucune preuve de piratage des machines en question. D’après les rapport fédéraux, plus de 150 000 DAB Nautilus sont implantés aux États-Unis. Nautilus est une filiale de Hyosung Corp, située en Corée du Sud. Les failles de sécurité n’existeraient que dans les distributeurs distribués par la filiale américaine.

Les chercheurs ont également expliqué que les failles avaient été répertoriées courant été 2019, et qu’elles avaient été réparées en moins d’une semaine par Nautilus qui « a mis en place des firmware pour sécuriser et contrecarrer les menaces éventuelles ». Des mises à jour ont ensuite été installées dès le 4 septembre 2019.

Pour des raisons de sécurité, Red balloon n’a pas divulgué la manière dont la faille des distributeurs a pu être corrigée. Il se pourrait néanmoins qu’elle diffuse un peu plus tard certains détails techniques.

D’après Ang Cui, président, et fondateur de Red Balloon, ce type de vulnérabilité n’est pas suffisamment analysée. « Voilà plusieurs années que nous étudions comment amener les personnes à faire des mises à jour de sécurité et à installer des firmware », explique-t-il. « Les gens ne veulent tout simplement pas en entendre parler » ajoute Ang Cui. Les chercheurs ont également repéré une faille dans une application mobile développée par Nautilus, et utilisée par les techniciens et les propriétaires des distributeurs. Celle-ci permettrait d’accéder aux comptes des utilisateurs, aux soldes de trésorerie, à l’emplacement du distributeur, et à la version du logiciel. Cette dernière faille est en train d’être résorbée par l’équipe.

« Tandis que nous n’avons pas de preuve de l’utilisation de cette vulnérabilité Hyosung a décidé de désactiver le service jusqu’à ce que les versions soit revues, et réhabilitées » a déclaré Keith Lennard (vice président de Nautilus). La compagnie n’a pas fait plus de commentaires.

Toutes ces failles peuvent faire l’objet d’une attaque à distance d’après l’équipe de Red Balloon. Les possibles hackers ne seraient pas dans l’obligation d’intervenir physiquement. Il suffirait de se positionner sur le réseau utilisé par les distributeurs.

L’une des vulnérabilités permettrait à un criminel de récupérer les données data, du liquide, ou le code PIN des cartes. Les chercheurs ont déclaré qu’une attaque aurait pu être réalisée simplement en prenant les commandes de l’appareil, sans pour autant être détectée.

Un problème récurrent

Ce n’est pas la première fois que la vulnérabilité des distributeurs automatiques, en 2017, des criminels européens ont été en mesure de pirater des distributeurs, rappelle Bloomberg. L’affaire rapportée dans Vice, concernait une une attaque menée en Allemagne, appelée « jackpotting » : des hackers avaient réussi à introduire un logiciel malveillant sur le port ATM des distributeurs, pour que l’argent contenu dans la machine soit entièrement éjecté. Cette technique leur aurait permis de rassembler 1 million d’euros.

En 2017 toujours, une étude menée par Kasperky (leader mondial de la cybersécurité), faisait état elle aussi des vulnérabilités des distributeurs, dues à un manque de vigilance. Les techniques de piratage rapportées étaient alors semblables à celles décrites par l’équipe de Red Balloon : « Alors que les virus que l’on connaît aujourd’hui écrivent des fichiers sur le disque dur du DAB, cette nouvelle génération d’attaques va s’en prendre à la mémoire vive, ce qui ne laisse aucune trace » déclarait aux Échos Daniel Fages, directeur technique de Stromshield (éditeur de logiciels spécialisés en sécurité informatique). Lui aussi déplorait la rareté des mises à jour effectuées sur les appareils.

En 2018, une attaque de plus grande envergure a vu le jour : des pirates informatiques reliés au gouvernement de Corée du Nord, auraient pillé des dizaines de millions de dollars en introduisant un logiciel malveillant dans des distributeurs en Asie et en Afrique. De quoi motiver les fournisseurs et les propriétaires des distributeurs de pratiquer régulièrement des tests et des mises à jour sur leurs appareils. Enfin peut-être…