Le Jackpot des distributeurs automatiques de billets : malwares et autres méthodes d’enrichissement

Contenu

jackpot_pre

Les distributeurs automatiques de billets (DAB) se sont implantés dans notre vie à partir de 1967 lorsque le premier appareil du genre a été mis en service dans une succursale de la banque Barclays de Londres. De nos jours, des millions de personnes à travers le monde utilisent quotidiennement les DAB pour réaliser des retraits en espèces, déposer de l’argent ou payer divers services. Ces utilisateurs ne pensent pas au matériel, aux particularités des logiciels utilisés, ni à la sécurité de ceux-ci. Malheureusement, les fabricants de DAB et leurs clients directs, à savoir les banques, consacrent également trop peu d’attention à la question de la sécurité de ces distributeurs. Il suffit de voir l’augmentation du nombre de vol d’argent dans les DAB sans recourir à des méthodes destructrices comme l’utilisation de chalumeaux ou de substances explosives.

Avant de comprendre pourquoi de tels incidents se produisent, il faut comprendre ce qu’est un distributeur automatique de billets.

A propos du matériel

Un distributeur automatique de billets n’est rien d’autre qu’un assemblage. Le fabricant réunit un dispositif de distribution des billets (le distributeur), un lecteur de carte et d’autres modules produits par différents fabricants. Les modules sont placés dans ensemble généralement composé de deux parties : la partie supérieure ou armoire ou zone de service et la partie inférieure qui est le coffre-fort.

L’armoire contient des modules tels que la tour (oui, une tour conventionnelle, parfois avec le même châssis qu’une tour informatique normale), un clavier de chiffrement (EPP ou encrypted PIN-pad), un lecteur de carte, etc. La zone de service abrite tout ce qui ne permet pas, d’après le fabricant, d’accéder physiquement à l’argent. C’est probablement pour cette raison que le recouvrement de l’armoire est en plastique et qu’une seule serrure rudimentaire la protège contre les accès non autorisés. A ce sujet, les serrures complètes ou les clés peuvent être facilement obtenues sur Internet car chaque fabricant utilise les mêmes serrures pour l’ensemble de ses distributeurs et en général, la majorité des banques ne pense pas à les remplacer par des serrures uniques.

Le coffre-fort quant à lui est beaucoup mieux protégé. Il s’agit d’un « sandwich » d’acier et de béton avec deux types de serrures : une serrure à combinaison (électronique ou à combinaison, parfois électromécanique) et une serrure à clé, en général des serrures à gorges. Le coffre-fort abrite les dispositifs qui ont un rapport direct avec l’argent comme le dispositif de distribution des billets et le module de dépôt des billets.

Tous les dispositifs sont connectés à la tour, qui dans ce cas-ci remplit la fonction d’hôte (nous l’appellerons ainsi), via des ports USB ou RS232 (souvent appelés ports COM). Parfois, ces ports sont montés directement sur la tour et s’il n’y a pas assez de ports, une extension USB/COM est utilisée. Sur les anciens modèles de distributeurs automatiques de billet, dont certains sont toujours en service, la connexion s’opérait via un bus SDC.

A propos du logiciel

La sélection que l’on retrouve dans presque tous les distributeurs automatiques de billets est élémentaire :

  • un système d’exploitation ;
  • une application d’administration des modules du DAB ;
  • un logiciel d’interface utilisateur (client du DAB ou opérateur) ;
  • un logiciel de communication avec le centre de traitement (qui assure le volet informatique et technologique de la transaction) ;
  • un logiciel antivirus ou un logiciel de contrôle de l’intégrité du système.

Cette sélection suffit en général pour permettre au DAB de réaliser ses fonctions directes, mais certaines banques, pour une raison inconnue, installent également Acrobat Reader 6.0, Radmin, TeamViewer et d’autres applications inutiles, voire dangereuses dans certains cas.

Au niveau du système d’exploitation, la majorité des DAB utilise jusqu’à présent… Windows XP. Et ce en dépit du fait que Microsoft a arrêté de diffuser les mises à jour de sécurité pour ce système d’exploitation en avril 2014. Toutes les vulnérabilités de type 0jour pour ce système existent toujours. Souvent, les ingénieurs chargés de la maintenance des DAB pensent que si l’appareil fonctionne, il vaut mieux « ne pas y toucher » (à savoir : « ne pas le mettre à jour »). Par conséquent, certains DAB contiennent toujours la vulnérabilité critique MS08-067 qui permet d’exécuter un code à distance.

Les modules du DAB sont mis en œuvre sur des microcontrôleurs avec des systèmes d’exploitation temps réel (RTOS), ce qui est particulièrement triste pour les personnes dotées d’IDA Pro car l’analyse statique n’est pas vraiment applicable à ce genre de système.

Mais ces informations suffisent normalement aux individus malintentionnés pour lancer leur attaque.

A propos des malwares

En 2009, le monde des distributeurs automatiques de billets a été bouleversé par l’apparition du trojan Backdoor.Win32.Skimer: il s’agissait du premier cas de malware destiné aux distributeurs automatiques de billets. Skimer visait les DAB d’un fabricant en particulier, leader du marché. Grâce au malware, les individus malintentionnés étaient capable de vider le distributeur et d’obtenir également les données des cartes lues par le DAB infecté. Depuis lors, les DAB de nombreux fabricants ont été confrontés à plusieurs reprises à des attaques de malwares.

Le vol d’argent dans les distributeurs automatiques de billets à l’aide de malwares suit 4 étapes fondamentales :

  1. L’individu malintentionné obtient un accès, local ou distant, au distributeur.
  2. Le code malveillant est injecté dans le système du DAB.
  3. En général, l’infection est suivie du redémarrage du DAB. Le système semble redémarrer en mode normal, mais il est en réalité placé sous le contrôle du malware, à savoir des individus malintentionnés.
  4. La dernière étape est celle qui correspond à l’objectif de l’opération : le vol de l’argent.

Accéder aux entrailles du DAB n’est pas une tâche spécialement compliquée, comme l’ont démontré des experts lors du forum international Positive Hack Days consacré à la sécurité informatique. L’infection est également plus ou moins bien comprise : le code aléatoire peut être exécuté sur un système non protégé (ou protégé de manière insuffisante). Le retrait de l’argent semble aussi ne poser aucun problème : l’interface du malware s’affiche après avoir saisi un code sur le clavier numérique ou après avoir introduit une carte spéciale, et le reste n’est qu’une formalité.

Nous allons nous concentrer sur la manière dont un malware peut être introduit dans un DAB.

A propos de la norme XFS

Des individus malintentionnés ont réussi à infecter la tour du DAB. Que se passe-t-il ensuite ?

Il convient ici aussi de fournir une petite explication. Comme nous l’avons déjà dit, le DAB est géré par une application Windows. Dans les grandes lignes, sa fonction consiste à organiser l’interaction entre l’utilisateur (le client de la banque ou le technicien de maintenance) et le centre de traitement qui envoie les commandes au DAB, et le matériel qui exécute ces commandes. Les communications avec le centre de traitement se déroulent via des protocoles direct connect (NDC ou DDC), les messages sont remis à l’utilisateur via l’interface graphique et le fonctionnement de chaque module du DAB est garanti par les prestataires de service correspondant (des passerelles dans ces modules). Pour transférer les commandes aux prestataires de service, puis au matériel, ainsi que pour le retour des messages d’état, le système utilise le niveau XFS Manager selon le concept WOSA.

Le distributeur automatique de billets jackpot : malwares et autres méthodes d'enrichissement

Mode de fonctionnement général du DAB dans le cadre de la norme XFS

XFS (CEN/XFS, antérieurement WOSA/XFS) ou eXtensions for Financial Services est une norme qui propose une architecture client-serveur pour l’interaction des applications financières sur une plateforme Windows avec des périphériques, y compris pour les DAB. Cette norme vise à unifier le fonctionnement des applications avec n’importe quel équipement, quel que soit son fabricant, et elle propose à cette fin une API générale.

Cela signifie que n’importe quelle application développée en tenant compte de la norme XFS peut administrer des objets de bas niveau sur la base uniquement de la logique décrite dans cette norme. Et cette application pourrait très bien être la backdoor Tyupkin ou n’importe quel autre malware.

Quelles sont les possibilités offertes par XFS ?

Par exemple, le distributeur, qui est le dispositif le plus intéressant pour les individus malintentionnés, peut distribuer l’argent sans aucune forme d’autorisation. Dans certains modèles de DAB, XFS permet d’ouvrir le coffre-fort et de déverrouiller les cassettes à l’aide d’un programme.

Exemple d’exploitation de la vulnérabilité MS08_067 qui permet d’exécuter un code aléatoire.
Vidéo présentée par des intervenants lors de Blackhat Europe 2014

Au niveau du lecteur de carte, XFS permet de lire et d’enregistrer les données de la bande magnétique de la carte bancaire et même d’obtenir l’historique des transactions conservées dans la puce des cartes EMV.

On ne peut pas oublier non plus le clavier de chiffrement (Encrypted PIN-pad (EPP)). On estime qu’il est impossible d’intercepter le code PIN car il est saisi via le pavé numérique du DAB et il est transformé directement au sein du module de chiffrement en bloc PIN (pour ce faire, le clavier EPP contient des clés dont les homologues se trouvent dans un module matériel de sécurité de la banque. Ceci étant dit, XFS nous permet d’utiliser le clavier selon deux modes :

  1. ouvert : pour la saisie de différentes valeurs numériques comme la somme à retirer ;
  2. et protégé (sécurisé) dans le cadre duquel le clavier de chiffrement EPP est activé pour la saisie du PIN et des clés de chiffrement.

Cette particularité permet d’organiser une attaque de type « homme au milieu » (MiTM). Il suffit simplement d’intercepter la commande envoyée par l’hôte au clavier EPP pour lui indiquer de passer en mode sécurisé et d’indiquer au périphérique qu’il faut en réalité continuer à fonctionner selon le mode ouvert. Le clavier EPP transmettra alors les informations saisies sous la forme d’un simple texte, ce que recherche l’individu malintentionné.

Et qu’en est-il de l’authentification et de l’accès exclusif ? Et il est probablement impossible d’obtenir les spécifications de la norme.

Malheureusement, ce n’est pas le cas de XFS. Cette norme ne prévoit aucune authentification et l’accès exclusif aux prestataires de service est bien mis en œuvre, mais pas pour des raisons de sécurité. Il s’agit simplement d’une fonction d’envoi de commandes monoflux pour éviter de mettre ce tas de ferraille hors service suite à l’envoi parallèle de deux commandes identiques.

Vous comprenez ? Il s’agit d’une norme pour les applications financières, mais elle ne prévoit rien pour la sécurité. Où peut-on obtenir les spécifications pour s’en convaincre ? Les informations souhaitées apparaîtront en tête des résultats si vous saisissez « ATM XFS » dans n’importe quel moteur de recherche.

A propos des outils de contrôle de l’intégrité

Certaines banques installent sur leurs DAB des applications chargées de contrôler l’intégrité. Celles-ci promettent d’empêcher l’exécution d’un code non autorisé sur la base d’une liste blanche, contrôlent les connexions de périphériques et de disques externes et proposent plusieurs autres services qui, théoriquement, pourraient être utiles pour résister à des attaques.

Mais il ne faut pas oublier qu’il s’agit d’une application et que, à l’instar de n’importe quelle autre application, elle n’est pas parfaite. Elle peut être vulnérable à des attaques telles que le contournement du mode kiosk, le contournement des listes blanches, le débordement de tampon, l’augmentation du niveau d’autorisation jusqu’à SYSTEM et d’autres encore. Comme vous l’aurez compris, bien souvent ces vulnérabilités permettent aux individus malintentionnés d’accéder au système d’exploitation et de réaliser leurs actions.

A propos des possibilités non documentées

Les criminels peuvent utiliser également des outils modifiés qui avaient été développés à l’origine par les créateurs ou les fabricants des DAB afin de tester le fonctionnement des appareils. Parmi les fonctions de ces outils, il y a le test de fonctionnement du distributeur, notamment au niveau de la distribution des billets. Pour pouvoir réaliser ce test, l’ingénieur doit confirmer son identité en ouvrant la porte du coffre-fort ou un réalisant une manipulation quelconque avec les cassettes qui contiennent les billets. La logique est simple : si la personne est en mesure d’ouvrir le coffre-fort, cela signifie qu’elle possède la clé et qu’elle est donc un ingénieur agréé ou l’employé chargé de remplacer les cassettes. Mais la substitution de quelques octets dans l’outil permet de « tester » la remise de l’argent sans aucune vérification.

Une autre méthode de s’enrichir consiste à remplacer la valeur nominale des billets distribués. Ici aussi, l’opération est réalisée à l’aide d’un outil de diagnostic. Suite à de telles modifications, l’attaquant reçoit des billets issus de la cassette contenant les billets de la plus grande valeur (par exemple, 100 dollars ou euros), mais le logiciel du DAB pense qu’il distribue des billets de valeur inférieure (par exemple, des billets de 5 ou de 10). Ainsi, une carte associée à un compte dont le solde n’est que de quelques centaines d’euros permet de retirer quelques milliers d’euros.

A propos de la black box

Un autre type d’attaque dont on parle de plus en plus souvent dans les journaux est l’attaque de type black box. Voilà ce que l’on peut voir sur les images de la vidéosurveillance : l’attaquant ouvre la zone de service, il connecte sa boîte magique au DAB, referme l’armoire et s’en va. Un peu plus tard, des individus, qui ressemblent à des clients, s’approchent du DAB et retirent de l’argent, beaucoup d’argent. Bien entendu, les individus malintentionnés n’abandonnent pas leur appareil. Ils le récupèrent une fois que le but a été atteint. En général, le résultat de l’opération est découvert après quelques jours : les employés de la banque doivent alors tenter de comprendre comment les cassettes ont été vidées alors que les journaux du DAB ne contiennent aucune entrée.

Pourtant, il n’y a rien de magique : les attaquants connectent au distributeur un microordinateur spécialement programmé qui prend la place de l’hôte et qui permet de contourner toutes les mesures de sécurité mises en œuvre sur l’hôte comme les logiciels antivirus, les outils de contrôle de l’intégrité, y compris le chiffrement complet du disque, etc.

A propos des communications non sécurisées

Comme nous l’avons déjà vu, les données entre la tour et les appareils peuvent être transmises via USB, RS232 ou SDC. Rien n’empêche peut-être les individus malintentionnés d’envoyer directement les commandes requises sur le port de l’appareil en contournant le prestataire de service. Les interfaces sont standard et requièrent rarement des pilotes spécifiques. De même, aucune authentification n’est prévue, ce qui fait de ces protocoles exclusifs non sécurisés des proies faciles, il suffit d’écouter et de répéter. On obtient ainsi l’administration directe des modules du DAB et l’accès à des possibilités non documentées (par exemple, après avoir modifié pour cela le micrologiciel des modules.) De plus, les individus malintentionnés peuvent utiliser des outils matériel ou logiciel d’analyse du trafic installés directement sur le port de l’appareil qui les intéresse, par exemple le lecteur de carte, afin d’obtenir les données transmises. Et un tel dispositif sera difficile à détecter.

L’administration directe du distributeur permet de vider les cassettes sans créer des enregistrements dans les journaux tenus par le logiciel du DAB.

Le distributeur automatique de billets jackpot : malwares et autres méthodes d'enrichissement

Paquet typique d’une commande pour la distribution de billets issus de la 1re cassette du DAB.

Pour les non-initiés, cela ressemble à de la magie. Mais ce tour, comme n’importe quel autre tour de magie, se déroule en trois parties : collecte de l’argent des cassettes, ouverture de la trappe (petite porte via laquelle l’argent est distribué) et présentation de l’argent au client.

Exemple d’attaque de type black box contre un DAB,
vidéo enregistrée par des experts pour BlackHat Europe 2014

Les skimmers sont vraiment dépassés. La connexion directe permet de lire les données de la bande magnétique de la carte et de les enregistrer. En guise de connexion directe, il est possible d’utiliser des outils logiciels d’analyse du trafic que l’on trouve sans aucune difficulté sur Internet. Un jour, un ami m’a raconté le cas d’une petite banque où tous les DAB étaient utilisés en tant que skimmer. Les individus malintentionnés, qui avaient trouvé une vulnérabilité dans le réseau de la banque, avaient installé un utilitaire de type USB sniffer sur les DAB. Ils avaient pu récolter toutes les données des cartes bancaires en clair pendant cinq ans. Qui sait, peut-être que votre carte figure parmi ces données.

Le distributeur automatique de billets jackpot : malwares et autres méthodes d'enrichissement

Données de la Track2 de la carte interceptées

A propos du réseau

La connexion entre les DAB et le centre de traitement peut être protégée de différentes manières. Par exemple, à l’aide d’un VPN logiciel ou matériel, ou via la mise en œuvre du chiffrement SSL/TLS, via l’utilisation d’un pare-feu, voire l’authentification MAC mise en œuvre dans les protocoles xDC. Toutefois, on dirait que ces mesures semblent parfois tellement compliquées pour les banques qu’aucune n’est appliquée.

Cela laisse la porte ouverte à l’organisation d’attaques du type « homme au milieu » à l’issue desquelles les individus malintentionnés se retrouvent avec les données bancaires et tout l’argent du DAB. La réalisation de telles attaques requiert un accès à distance à l’appareil. Pour ce faire, il suffit d’utiliser un service vulnérable accessible via Internet, voire des techniques d’ingénierie sociale. L’accès physique au matériel réseau, y compris le câble Ethernet du DAB, peut également faire l’affaire.

Un faux centre de traitement apparaît sur le chemin du centre authentique. Ce faux centre envoie alors au DAB une commande de distribution des billets. Et l’argent peut être retiré à l’aide de n’importe quelle carte, même une carte expirée et avec un solde nul. Il suffit uniquement que cette carte soit « reconnue » par le faux centre. Le faux centre de traitement peut être une création qui prend en charge la communication avec le DAB via le protocole xDC ou un simulateur de centre de traitement, prévu à l’origine pour tester la configuration réseau (autre « cadeau » des fabricants pour les individus malintentionnés).

Le distributeur automatique de billets jackpot : malwares et autres méthodes d'enrichissement

Commandes pour la distribution de 40 billets issus de la 4e cassette envoyées par un faux centre de traitement et consignées dans les journaux du logiciel du DAB. On dirait presque des vraies commandes

Où les individus malintentionnés trouvent-ils les DAB qui peuvent être attaqués via le réseau ? Balaient-ils tout le réseau à proximité ou achètent-ils les informations sur des forums clandestins ?

Il suffit de poser la bonne question dans le moteur de recherche www.shodan.io (les experts de l’Internet des objets connaissent bien ce système). Les informations obtenues via ce système suffisent à l’organisation de telles attaques.

Il est possible également de bien étudier les DAB dans les centres commerciaux ou professionnels.

Le distributeur automatique de billets jackpot : malwares et autres méthodes d'enrichissement

Parfois, il n’est même pas nécessaire d’ouvrir le DAB pour accéder à ses systèmes. Les voies de communications sont exposées à l’extérieur.

Qui est responsable et que faire ?

Cette partie est souvent la plus triste et nous allons vous expliquer pourquoi.

Lorsque nous découvrons des vulnérabilités dans le cadre de nos travaux d’analyse de la sécurité des DAB, nous envoyons au fabricant une description des problèmes ainsi que les solutions pour les éliminer. Et parfois, les réponses que nous recevons sont surprenantes (nous avons conservé l’orthographe originale) :

« The vulnerabilities are essentially normal specifications of the card readers and not unexpected. As long as the ATM is running within normal parameters, these problems cannot possibly occur. »
(Traduction : Ces vulnérabilités font partie des spécifications normales des lecteurs de carte et n’ont rien de surprenant. Tant que le DAB est utilisé dans des paramètres normaux, il est impossible que ces problèmes se manifestent.)

« However this vulnerability is inherent in the USB technology and is expected be mitigated by the use of appropriate physical controls on access to the ATM top box. »
(Traduction : Toutefois, cette vulnérabilité est inhérente la technologie USB et devrait être atténuée par la mise en place des contrôles physiques adéquats au niveau de l’accès au boîtier supérieur du DAB.)

« We regret informing you that we had decided to stop producing this model more than 3 years ago and warranties for our distributors been expired. »
(Traduction : Nous sommes au regret de vous signaler que nous avons suspendu la production de ce modèle il y a plus de 3 ans et que les garanties pour nos distributeurs ont expiré.)

En effet, pourquoi un fabricant devrait-il se préoccuper si des DAB qui ne sont plus couverts par une garantie sont toujours utilisés par des banques du monde entier et si la sécurité physique de ces derniers laisse souvent à désirer ? Malheureusement, la réalité est telle que les fabricants sont intéressés uniquement par la vente de nouveaux appareils et non pas par l’élimination des défauts dans les systèmes existants tandis que les banques, de leur côté, ne sont pas en mesure de résoudre ces problèmes à elles seules car elles ne disposent pas des compétences requises.

Heureusement, certains fabricants comprennent les dangers que peut représenter l’utilisation non autorisée des DAB et publient des mises à jour de sécurité. Afin de se protéger des attaques contre les distributeurs, certaines adoptent l’authentification bidirectionnelle et le chiffrement (ici, il ne faut pas oublier que le chiffrement n’est pas toujours correctement mis en œuvre).

Toutefois, la réalité nous montre que même si les mesures de protection adoptées peuvent suffire pour lutter contre les malwares, elles sont impuissantes face aux attaques réseau ou de type black box. Le volume considérable de vulnérabilités et de lacunes en matière de sécurité qui peuvent être exploitées sans connaissances particulières transforme les DAB en cibles idéales pour les individus qui souhaitent s’enrichir illégalement.

Une solution existe

Ceci étant dit, les fabricants de DAB disposent des capacités pour réduire le risque d’attaques.

  • Tout d’abord, il faut revoir la norme XFS et mettre l’accent sur la sécurité et introduire l’authentification bidirectionnelle entre les appareils et les applications légitimes, ce qui permettra de réduire la probabilité de distribution non autorisée d’argent à l’aide de trojan ou d’administration directe du DAB par des individus malintentionnés.
  • Ensuite, il faut mettre en œuvre la « distribution authentifiée » afin d’exclure la possibilité d’attaque par substitution.
  • Troisièmement, il faut intégrer la protection par chiffrement et la vérification de l’intégrité des données transmises entre tous les appareils du DAB.

Et que doivent faire les banques ? Agir !

Il faut obliger les fabricants des DAB et les éditeurs des logiciels à améliorer la sécurité. Les vulnérabilités doivent être éliminées par les fabricants dans les plus brefs délais et ces vulnérabilités doivent être signalées plus souvent. Toutes les mesures de sécurité existantes doivent être adoptées pour empêcher les intrusions dans les DAB. La liste enrichie d’auto-vérification PCI DSS ne constitue pas le remède miracle et elle ne protège pas vraiment les DAB contre les attaques, ni les banques conte les pertes financières et les atteintes à la réputation. Une défense proactive qui reprendrait l’analyse à intervalles réguliers de la protection des DAB et des tests d’intrusions est une meilleure option (et moins chère) que l’enquête sur les incidents après qu’ils ont eu lieu.

N’oubliez pas que l’ennemi est à l’affût.

Nous espérons que ce texte vous aidera à vous protéger.

P.S. : aucun DAB n’a été blessé pendant la préparation de cet article.

PPS: ce survol des problèmes de sécurité des appareils financiers n’est pas un cours.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *