Lors de la conférence BlackHat qui a lieu en ce moment à Las Vegas, Barnaby Jack de la société de sécurité IOActive a fait une démo assez sympa en piratant 2 ATM (distributeurs automatique de billets ou DAB) de marque Tranax Technologies et Triton. Il a découvert l'année dernière plusieurs failles en analysant le code source des logiciels embarqués dans les ATM.

Pour analyser le code logiciel du Tranax, il a simplement relancé les appareils en mode débug, accédant ainsi à un Windows CE. Les ATM sont équipés de modem ou de connexion internet selon leur config... Il a donc tout simplement lancé un Internet Explorer, qui lui a permis de sortir les fichiers pour les analyser ensuite. Il a alors pu trouver une vulnérabilité qui lui a permis d'accèder à distance à l'ATM sans devoir saisir de mot de passe.

Il a alors écrit 2 petits exploits baptisés Dillinger (un célèbre braqueur de banque américain) et Scrooge (l'oncle Picsou). Le premier établi la connexion à distance sur l'ATM via un ordi ou un téléphone portable. Les ATM accessibles par modem possède un n° de téléphone qui leur est propre et seraient selon Barnaby facilement "découvrable" avec un peu de wardialing. En effet, Tranax utilise son propre protocole de communication... A partir de là, il devient relativement simple de savoir si le modem qui répond au coup de fil est un ATM ou un modem classique.

Le second logiciel, quant à lui, injecte dans le système un rootkit qui reste invisible dans la liste des processus et qui affiche un petit menu permettant de contrôler l'appareil, uniquement si on tape une certaine combinaison de touches ou qu'on insère une carte spéciale dans l'appareil. Scrooge permet ainsi de récupérer toutes les infos (n° de carte, code secret...etc) qui transitent par la machine mais aussi de sortir l'argent. Une machine de ce type peut contenir jusqu'à 600 000 dollars.

L'autre ATM, de marque Triton n'avait quant à elle pas de faille exploitable à distance. Barnaby a donc rusé et a trouvé pour 10$ sur le net, la clé qui permet d'ouvrir l'ATM. Il a alors branché une clé USB contenant un malware de sa confection sur la carte mère de l'ATM, lui faisant croire qu'il s'agissait d'une mise à jour. Les clés Triton sont identiques pour tous les ATM vendus... Il suffit donc de trouver un technicien Triton complice. Et taaaadaaa ! Il devient ensuite très simple grâce au malware de récupérer les n° et les codes secrets de toutes les cartes insérées dans la machine, et bien sûr de sortir l'argent !

Evidemment, j'en vois certains qui se préparent mentalement à aller braquer leur banque et je dois dire que ce genre de choses peut faire rêver :-) mais

  • C'est bien sûr illégal
  • Ça demande beaucoup de boulot car Barnaby ne rendra pas ses logiciels publics
  • Les ATM en France sont probablement d'une autre marque
  • Les fabricants Triton et Tranax ont patché ces failles
  • Et porter une cagoule en cette saison, pour éviter les caméras de suveillance, n'est pas chose facile.

Ça reste quand même assez impressionnant et je dois dire que la vidéo de démonstration est sympathique :-)

En plus, je suis sûr que y'a moyen de faire pareil avec les pompes à essence 24h/24h ;-) (photo prise par moi-même il y a quelques semaines)

[Source et photo]