Scénarios d’attaques contre les systèmes d’identification des DAB

On a déjà beaucoup parlé des menaces qui planent actuellement sur les propriétaires de distributeurs automatiques de billets (DAB). La raison derrière le nombre croissant d’attaques contre ces appareils est simple : vu leur niveau global de sécurité, les DAB modernes constituent souvent le moyen le plus facile et le plus rapide pour les criminels d’accéder à l’argent de la banque. Bien entendu, le secteur bancaire réagit à ces attaques en introduisant des mesures de sécurité, mais les menaces sont en évolution constante. Afin de préparer les banques aux menaces auxquelles elles devraient être confrontées dans un avenir proche, nous avons rédigé un rapport consacré à l’avenir des cybermenaces contre les DAB. Nous espérons que ce rapport permettra au secteur de mieux se préparer pour faire face à une nouvelle génération d’outils et de techniques d’attaque.

Le rapport est composé de deux parties dans lesquelles nous analysons toutes les méthodes existantes d’authentification adoptées par les DAP et celles qui devraient être introduites dans un avenir proche, dont l’authentification sans contact via NFC, l’authentification par mot de passe à usage unique et l’authentification biométrique. Nous nous sommes également penchés sur les vecteurs d’attaques potentiels à l’aide de malware, ainsi que sur les attaques réseau et les attaques contre le matériel.

Nous avons étudié l’activité clandestine autour de ces technologies et nous avons été supris de voir qu’il existe douze fabricants qui proposent déjà de faux lecteurs d’empreintes digitales connus sous le nom de dispositifs de skimming biométrique. Il y a également au moins trois autres vendeurs qui s’intéressent o des dispositifs qui seront en mesure d’obtenir illégalement les données des systèmes de reconnaissance des veines de la paume et de l’iris.

Cette tendance est significative car les données biométriques, à la différence des mots de passe et des codes PIN, ne peuvent absolument pas être modifiées en cas de compromission d’un système. Autrement dit, si vos paramètres biométriques ont été compromis une fois, leur utilisation ne sera plus sûre à l’avenir. C’est la raison pour laquelle il est primordial de garantir la sécurité de la conservation et du transfert de ces données. Les données biométriques sont également enregistrées dans les passeports électroniques et les visas. Par conséquent, si un individu vole un passeport électronique, il vole non seulement le document, mais également les données biométriques de la personne. Autrement dit, il vole l’identité de la personne.

Les criminels peuvent également obtenir les données biométriques en attaquant l’infrastructure d’une banque. Il s’agit d’un autre problème d’envergure : si vous perdez la base de données biométriques de vos clients, vous ne pourrez pas résoudre l’incident en vous contentant d’annuler les cartes de paiement compromises. Il s’agirait d’une perte définitive et le secteur bancaire n’a jamais été exposé jusqu’à présent à ce genre de menace.

En général, les attaques réseau lancées contre des DAB vont provoquer des maux de têtes pour les services de sécurité des institutions financières au cours des prochaines années car, sur la base de nos expériences de test de pénétration, l’infrastructure réseau d’une banque est souvent organisée d’une manière qui pourrait être exploitée par un pirate pour accéder à certains segments critiques du réseau, dont le réseau de DAB, et en prendre les commandes. Cette situation n’est pas sur le point de changer et ce, pour plusieurs raisons, dont l’ampleur astronomique des réseaux des organisations financières et le temps et l’argent nécessaires à leurs mise à niveau.

Néanmoins, en publiant ce rapport, nous souhaitons d’une part attirer l’attention sur la problématique de la sécurité des DAB aujourd’hui et dans un avenir proche et d’autre part, accélérer le développement d’un écosystème vraiment sécurisé pour ces dispositifs.

Le rapport complet est accessible ici (Eng.)

Lisez la description des attaques ici (Eng.)

[youtube https://www.youtube.com/watch?v=videoseries?list=PLPmbqO785Hlv10fOKEkcmBwAsq-ytasFD&w=560&h=315]

Posts similaires

Leave a Reply

Your email address will not be published. Required fields are marked *