Le premier virus pour DAB, un joli cas d’école

Actualités - Malware - Posté on 20 Mar 2009 at 8:16 par Solange Belkhayat-Fuchs

ohadSophos publie l’analyse de ce qui semble être le tout premier virus –un « Dropper »- s’attaquant à certains Distributeurs Automatiques de Billets Américains. La nouvelle a fait l’effet d’une bombe, et ce virus quasi confidentiel s’est vu propulsé à la Une du Reg, de CSO Online, de Good Gear Guide et quelques bonnes centaines d’autres titres. Précisons que nos confrères de CSO accompagnent leur article de deux fac simile des lettres d’alertes expédiées par le constructeur des appareils, Diebold. Une filiale de cette entreprise, Premier Election Solution, spécialisée dans les machines à voter, fait régulièrement les gros titres de la presse et le bonheur des conférences sécurité (section « easy hacking »).

Disons le tout de suite, ce dropper bancaire est à deux doigts d’appartenir à la catégorie des « virus en chambre », l’un des rares cas détecté ayant été signalé en Russie. Il « doit probablement être injecté dans la machine par un complice » précise l’auteur Vanja Svajcer. Le code malin n’est jamais qu’une variante des programmes utilisés par les « carders », et semble se charger de voler et stocker les données des véritables cartes introduites dans le DAB infecté. Plutôt donc de se lancer dans une dangereuse opération de maquillage du distributeur lui-même (skimming), les black-hats ont décidé de transformer la machine elle-même en usine de récupération de code. Et ce, probablement, en partant d’une constatation logique : tout, dans un DAB, est prévu pour empêcher un vol de l’argent liquide contenu dans la caisse automatique. La sécurité est « pensée » pour contrôler tout ce qui peut « sortir » de l’appareil…. Mais rien n’est prévu pour sécuriser ce qui y entre, en d’autres termes les données contenues sur la carte. Ni les claviers d’entrée de code PIN, ni les écrans ne sont prévus pour résister à une écoute « Tempest » par exemple. Probablement parce que ce qui est extérieur au DAB ne relève pas de la responsabilité de la banque.

Bien que confidentiel, ce virus « voleur de comptes » a une valeur symbolique considérable : il prouve –si besoin en était- que l’infaillibilité et l’herméticité tant vantée des DAB n’est qu’une illusion. Il remet également sur le tapis l’éternel débat sur la « vulnérabilité provoquée par l’absence de diversité des socles logiciels », cheval de bataille de Dan Geer. En généralisant Windows, dans sa version « embedded » ou non, sur la majorité des automates en service, l’industrie des distributeurs a pris un risque relativement élevé et facilité le travail des pirates. Ceci étant dit, un noyau Linux ou un système plus exotique aurait de toute manière fini par succomber de la même manière, compte-tenu de la convoitise et des espérances de gain que peut susciter ce genre d’appareil.

Laisser une réponse