Crédits images : Victor J. Blue/Bloomberg / Getty Images

En 2010, feu Barnaby Jack, un chercheur en sécurité de renommée mondiale, a piraté un distributeur automatique de billets en direct sur scène lors de la conférence Black Hat en trompant le distributeur de billets pour qu’il crache un flux de billets de un dollar. La technique a été nommée de manière appropriée “jackpotting”.

Dix ans après la démonstration à grand spectacle de Jack, les chercheurs en sécurité présentent deux nouvelles vulnérabilités dans les distributeurs automatiques de billets Nautilus, bien que virtuellement, grâce à la pandémie de coronavirus.

Les chercheurs en sécurité Brenda So et Trey Keown, de la société de sécurité Red Balloon basée à New York, affirment que leur paire de vulnérabilités leur a permis de tromper un distributeur automatique de détail autonome populaire, que l’on trouve généralement dans les magasins plutôt que dans les banques, pour qu’il distribue de l’argent à leur commande.

Un pirate devrait être sur le même réseau que le distributeur automatique, ce qui rend plus difficile le lancement d’une attaque de jackpot réussie. Mais leurs résultats soulignent que les GAB ont souvent des vulnérabilités qui restent dormantes pendant des années – dans certains cas depuis qu’ils ont été construits.

Barnaby Jack, le regretté chercheur en sécurité crédité des premières attaques de “jackpotage” de GAB. Aujourd’hui, 10 ans plus tard, deux chercheurs en sécurité ont trouvé deux nouvelles attaques de ” jackpotage ” de DAB. Crédit : YouTube

So et Keown ont déclaré que leurs nouvelles vulnérabilités ciblent le logiciel sous-jacent du distributeur automatique de billets Nautilus, une version de Windows vieille de dix ans qui n’est plus prise en charge par Microsoft. Pour commencer, le duo a acheté un distributeur automatique de billets à examiner. Mais avec peu de documentation, le duo a dû faire de l’ingénierie inverse sur le logiciel à l’intérieur pour comprendre comment il fonctionnait.

La première vulnérabilité a été trouvée dans une couche logicielle connue sous le nom de XFS – ou Extensions for Financial Services – que le DAB utilise pour parler à ses différents composants matériels, tels que le lecteur de cartes et l’unité de distribution d’argent. Le bogue n’était pas dans XFS lui-même, mais plutôt dans la façon dont le fabricant de GAB implémentait la couche logicielle dans ses GAB. Les chercheurs ont découvert que l’envoi d’une requête malveillante spécialement conçue sur le réseau pouvait effectivement déclencher le distributeur de billets du DAB et vider l’argent à l’intérieur, a déclaré Keown à TechCrunch.

La deuxième vulnérabilité a été trouvée dans le logiciel de gestion à distance du DAB, un outil intégré qui permet aux propriétaires de gérer leur flotte de DAB en mettant à jour le logiciel et en vérifiant combien d’argent il reste. Déclencher le bug permettrait à un pirate d’accéder aux paramètres d’un DAB vulnérable.

So a déclaré à TechCrunch qu’il était possible de commuter le processeur de paiement du DAB avec un serveur malveillant, contrôlé par des pirates, pour siphonner des données bancaires. “En pointant un guichet automatique vers un serveur malveillant, nous pouvons extraire des numéros de cartes de crédit”, a-t-elle déclaré.

Bloomberg a d’abord signalé les vulnérabilités l’année dernière, lorsque les chercheurs ont fait part de leurs découvertes en privé à Nautilus. Environ 80 000 distributeurs automatiques de billets Nautilus aux États-Unis étaient vulnérables avant la correction, a rapporté Bloomberg. Un porte-parole de Nautilus n’a pas voulu confirmer ce chiffre.

Les attaques réussies de jackpot sont rares mais pas inédites. Ces dernières années, les pirates ont utilisé un certain nombre de techniques. En 2017, un groupe actif de cagnotte a été découvert opérant à travers l’Europe, rapportant des millions d’euros en espèces.

Plus récemment, les pirates ont volé des logiciels propriétaires de fabricants de distributeurs automatiques de billets pour construire leurs propres outils de cagnotte.

Envoyez des tuyaux en toute sécurité par Signal et WhatsApp au +1 646-755-8849 ou envoyez un courriel crypté à : [email protected]

.