Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

On vit une époque formidable : le botnet de caisses enregistreuses !

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Il était un temps ou l’idée d’un botnet de téléphones mobiles était considérée comme purement académique, voire relevant de la science-fiction. Ce n’est certes plus le cas aujourd’hui, mais le petit monde de la SSI continue néanmoins de nous surprendre.

La société IntelCrawler aurait ainsi découvert un botnet de… caisses enregistreuses ! L’on ne parle pas ici de la pratique qui consiste à piéger le terminal de paiement électronique lui-même (ce qui est devenu relativement courant), mais plutôt de la caisse qui lui est reliée, celle sur laquelle l’employé du magasin saisi les montants avant d’activer le terminal de paiement. Ces caisses enregistreuses modernes sont en effet très souvent de simples PC sous Windows et elles peuvent donc être infectées comme le premier PC venu.

Selon Ars Technica une trentaine de caisses électroniques auraient ainsi été infectées aux Etats-Unis avec une variante du malware spécialisé Dexter. Elles étaient contrôlées ensembles et à distance via une interface web dans le plus pur style des botnets traditionnels. Les criminels pouvaient en surveiller l’activité en temps réel et leur donner des commandes globales ou individuelles.

Lors de chaque paiement le malware tentait de capturer les informations reçues du lecteur de carte. Les caisses victimes remontaient aux criminels le contenu des pistes magnétiques ISO1 (l’identité du porteur de carte) et ISO2 (le numéro de la carte et sa date de validité).

Ces deux informations sont suffisantes pour cloner la carte et l’utiliser pour régler des achats dans des pays qui n’ont pas encore généralisé l’usage de la puce électronique (les Etats-Unis, par exemple). Le clonage consiste à ré-écrire ces informations sur une carte magnétique vierge (baptisée « White plastic » ) depuis un PC standard muni d’un lecteur/encodeur de cartes magnétiques (en vente libre pour moins de 80€), puis d’embosser le nom du porteur (la victime) et le numéro de la carte, qui seront ensuite passés à la « doreuse » pour faire plus vrai.

Le malware utilisé dans le cadre de cette fraude n’a pas été bâclé : ses auteurs connaissent parfaitement le fonctionnement des caisses enregistreuses électroniques, afin notamment de savoir où récupérer, dans la RAM, les données sensibles. Le code prend en outre de nombreuses précautions afin de ne pas être détecté : il teste l’accès au réseau, ne remonte les données volées que lorsque la caisse n’a pas été utilisée depuis un certain temps et il chiffre ses échanges avec le serveur de contrôle.

L’on ne sait pas encore comment les caisses enregistreuses ont été infectées initialement, mais l’on peut soupçonner une infection manuelle, en détournant l’attention du commerçant (comme cela se pratique déjà pour piéger les TPE) ou par un employé complice.

Un tel ouvrage révèle peut-être une évolution des besoins des criminels. Ces derniers semblent devoir maintenant aller au plus près de la donnée de paiement pour la dérober. Car si celle-ci pouvait jadis être récupérée en masse en piratant les « entrepôts » qui la stockent (serveurs de commerçants ou de prestataires de paiement), il semble désormais que sous l’effet de la pression réglementaire (PCI) et des bonnes pratiques (chiffrement, tokenization, bastions…) les pirates récupèrent ces derniers temps beaucoup plus d’informations personnelles que de données bancaires exploitables.

Il parait donc naturel de se tourner alors vers la pratique ancienne du « skimming » (capture des données de la piste magnétique par piégeage du terminal de paiement). Mais il s’agit d’une approche très artisanale qui, bien qu’elle ait déjà rapporté des millions d’euros à des réseaux bien organisés, demeure très manuelle et donc risquée (il faut venir récupérer les informations depuis le terminal piégé). L’étape suivante est donc fort logiquement l’industrialisation de la chose et c’est précisément ce que permet ce botnet d’un genre nouveau : plutôt que de piéger les terminaux eux-mêmes, autant s’attaquer au bon vieux Windows qui voit passer tous les paiements dans la boutique. Et en prendre le contrôle à distance comme on sait si bien le faire avec les PC des internautes…

D’autant plus que ce bon vieux Windows, s’il est peut-être bon, est souvent vieux : à l’heure où Microsoft propose son Windows 8.1 Industry mieux sécurisé, l’antique Windows XP demeure très répandu dans le domaine de l’embarqué.
Et s’il n’y avait que XP… Un logiciel de caisse électronique populaire fonctionne notamment sous MS-DOS, d’autres sont développés en PHP pour s’exécuter sur un serveur web, et d’autres encore sont des applications Linux.
Windows, Linux, serveurs web, PHP… Bref, autant de technologies largement connues des attaquants.

Et surtout, une caisse de magasin est rarement considérée comme un PC traditionnel lorsqu’il s’agit de sa maintenance. Ainsi lors de l’épidémie Conficker, par exemple, une chaîne de grande distribution avait vu ses balances à légumes, qui fonctionnaient sous Windows XP, infectées et rendues inutilisables. Et comme le disait bien volontiers le RSSI à l’époque « Comment voulez-vous déployer un antivirus sur des balances à légumes ? » . Faites le test et demandez à votre commerçant s’il a mis à jour l’antivirus de sa caisse enregistreuse récemment…

D’ailleurs les criminels ne s’y trompent pas : le malware utilisé dans le cadre de ce botnet est parfaitement détecté par les antivirus (c’est d’ailleurs précisé par son auteur dans sa FAQ !). Mais peu importe : les caisses enregistreuses, bien qu’elles voient passer des informations de valeur, en sont rarement équipées, peu souvent mises à jour et jamais supervisées.

Voilà pourquoi elles sont probablement le nouvel Eldorado des pirates !


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Une réponse à On vit une époque formidable : le botnet de caisses enregistreuses !

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.