Pendant de nombreuses années, les skimmers ont été la principale menace pour les clients et les exploitants des DAB.
Les skimmers sont des appareils spéciaux fixés à un distributeur afin de pirater les données enregistrées sur les pistes magnétiques des cartes bancaires. Toutefois, avec l’évolution des techniques des malfaiteurs, les DAB sont dorénavant exposés à davantage de dangers.
En 2014, les chercheurs de Kaspersky Lab ont découvert Tyupkin, l’un des premiers exemples de malwares connus ciblant les DAB puis, en 2015, les experts de la société ont découvert le gang Carbanak qui était capable, entre autres, de dévaliser des DAB en piratant l’infrastructure des banques. Ces deux types d’attaques ont été rendus possibles en raison de l’exploitation de plusieurs faiblesses courantes dans la technologie des DAB, ainsi que dans l’infrastructure sur laquelle ils reposent.
Afin de dresser la liste de tous les problèmes de sécurité touchant les DAB, des spécialistes des tests de pénétration chez Kaspersky Lab ont réalisé une étude à partir d’investigations sur des attaques réelles et des résultats d’audits de sécurité effectués par plusieurs banques internationales.
A l’issue de l’étude, les experts ont démontré que les attaques de malwares contre les DAB étaient possibles à cause de deux principaux problèmes de sécurité. Le premier réside dans le fait que tous les DAB contiennent un PC doté d’un système d’exploitation très ancien, tel que Windows XP, ce qui les rend vulnérables à une infection par des codes informatiques malveillants et à des attaques exploitant des vulnérabilités.
Le second est plus complexe. Dans la grande majorité des cas, le logiciel spécial qui permet au PC du DAB d’interagir avec l’infrastructure et le matériel de la banque, pour traiter les espèces et les cartes bancaires, est dérivé du standard XFS. Il s’agit d’une technologie assez ancienne et non sécurisée.
Selon les experts de Kaspersky, les fabricants du DAB peuvent réduire les risques d’attaques sur les distributeurs en adoptant certaines mesures. Tout d’abord, il est nécessaire de revoir le standard XFS en mettant l’accent sur la sécurité, notamment en introduisant une authentification à deux facteurs entre la machine et son logiciel légitime.
Ensuite, il faut mettre en œuvre une procédure d’authentification spécifique pour le distributeur afin d’éviter le risque d’une attaque via un faux centre de traitement.
Enfin, il est indispensable de posséder une protection cryptographique et un contrôle d’intégrité des données transmises entre tous les composants matériels et le PC se trouvant à l’intérieur du DAB.
