Standard obsolète

Les bancomats sont trop faciles à pirater

| Mise à jour

Kaspersky Lab pointe du doigt les failles des bancomats, les jugeant trop faciles à pirater. Que font les banques suisses? Mystère... Elles restent en effet des plus laconiques sur le sujet.

Selon Kaspersky Lab, des criminels arrivent souvent sans difficulté à trouver un accès physique pour pirater les bancomats. (Quelle: Matt Biddulph/Flickr (CC BY-SA 2.0) https://www.flickr.com/photos/mbiddulph/)
Selon Kaspersky Lab, des criminels arrivent souvent sans difficulté à trouver un accès physique pour pirater les bancomats. (Quelle: Matt Biddulph/Flickr (CC BY-SA 2.0) https://www.flickr.com/photos/mbiddulph/)

Les experts de Kaspersky Lab ont mené des recherches sur la sécurité des distributeurs de billets. Selon leurs conclusions, beaucoup de bancomats dans le monde présentent des failles cyber-sécuritaires importantes, la faute à des OS obsolètes ainsi qu’au recours à un standard de communication nommé XFS. Les spécialistes affirment que ce dernier aurait pris passablement de rides et n’aurait plus rien de fiable. Créé il y a plus de vingt ans, il permet de faire fonctionner les logiciels sur tous les bancomats, indépendamment de leur fabricant. Le hic? XFS ne nécessite pas d'autorisation pour exécuter les commandes reçues, observe Kaspersky Lab, avant de préciser que de ce fait «toutes applications installées ou lancées sur le bancomat peuvent émettre des commandes à d'autres unités.» Autrement dit, les différentes unités du hardware exécutent n’importe quel traitement sans se poser de question. Une vulnérabilité qui peut concerner aussi bien le lecteur de carte, le pavé numérique que le contrôle du mécanisme de distribution de billets.

Bancomats piratés même sans virus

Au cours de leurs recherches, les experts de Kaspersky Lab ont constaté que les criminels qui s’attaquaient à des distributeurs automatiques n’utilisaient pas nécessairement de logiciels malveillants. Ils arrivent souvent sans difficulté à trouver un accès physique aux systèmes ou à son réseau, les bancomats n’étant en général pas suffisamment armés contre ce type de manœuvres. En accédant ainsi à l’OS, les criminels peuvent installer à l'intérieur du distributeur un micro-ordinateur spécialement programmé (dispositif nommé «black-box»), donnant un accès à distance à la machine, voire redirigeant les traitements vers un faux serveur.

Les banques suisses n’entrent pas dans les détails

Contactées par les rédactions de la Netzwoche et d’ICTjournal, les principales banques suisses ne communiquent que laconiquement – ou pas du tout –  sur les détails techniques de leurs bancomats et les mesures de sécurité prises. Crédit Suisse, la BCG et la BCF n’ont pas répondu à notre invitation à s’exprimer. UBS, la BCV, la BCN et la BCJ nous ont fait savoir qu’elles ne communiquaient aucune information au sujet de la sécurité des bancomats, «pour d’évidentes raisons de sécurité», précise le porte-parole de la BCN.

Quelles mesures prennent les banques helvétiques pour protéger leurs bancomats? Celles qui répondent à cette question restent vagues, évoquant «un ensemble de différentes mesures». La BCVS en dit un peu plus: «Le réseau des bancomats est isolé du reste du réseau de la banque et monitoré par nos systèmes de détection d’intrusion.» Concernant les systèmes d’exploitation des leurs distributeurs, ceux de Postfinance tournent sous Windows Embedded POSready 2009, une déclinaison de Windows XP. Ceux de la BCVS, de la ZKB, de Raiffeisen, de la Banque Coop tournent sous Windows 7. Voilà qui représente déjà un pas en avant vers davantage de sécurité, XP étant encore largement utilisé mais moins sûr, lit-on dans le rapport de Kaspersky Lab. Néanmoins, aux dires de la porte-parole de la Banque Coop, tous les distributeurs automatiques de tous les établissements bancaires suisses font encore appel au standard XFS.

Les experts de Kaspersky Lab estiment qu’il est temps que les fabricants de bancomats abandonnent la norme XFS, pour la mise en place d'une authentification à deux facteurs entre matériel et logiciel.

Webcode
8084

Kommentare

« Plus