Attaques
Les distributeurs de billets aussi ont un mot de passe par défaut
Par Jerome Saiz, le 28 sept 2006 à 09:50:00.
Un pirate américain a utilisé le mot de passe par défaut d'un distributeur de billets aux Etats-Unis pour le reprogrammer afin qu'il délivre des coupures de plus grand valeur. On hésiterait presque à parler de crime High Tech tellement l'opération est simple : le mot de passe était indiqué dans le manuel de l'appareil, disponible sur Internet.
L'été dernier, un jeune homme s'avance à un distributeur de billets à Virginia Beach, aux Etats-Unis. Après y avoir glissé une carte, il compose une séquence de chiffres un peu plus longue que l'habituel code PIN des cartes bancaires, puis retire un peu d'argent et disparaît.
Voilà, vous venez d'assister à un crime High Tech : le distributeur a été reprogrammé grâce à un code d'administration. Il "croit" désormais que ses billets de vingt dollars sont des coupures de cinq dollars. Le pirate reviendra d'ailleurs se servir une seconde fois, tellement l'attrait d'un tel profit facile est irrésistible.
Bien entendu, le jeune homme utilise une carte de débit prépayée, courante aux Etats-Unis, et il est donc impossible de remonter jusqu'à lui via sa carte bancaire. Seule demeure, pour la postérité, la bande vidéo de sécurité dont des extraits sont repris dans un sujet de CNN.
L'appareil va rester dans cette configuration pendant une dizaine de jours et en faire profiter tous ses clients légitimes, avant que l'un d'entre eux ne se décide à prévenir l'employé de la station à essence où était installé le généreux distributeur.
L'escroc a utilisé pour réussir son forfait un mot de passe par défaut trouvé... dans le manuel de l'appareil ! Mieux encore : ce dernier était disponible sur Internet. Selon le fabriquant du distributeur, la société Tranax, le manuel conseille aussi de changer ce code avant la mise en service du distributeur. Mais il semblerait que les manuels des distributeurs de billets ne soient pas plus lus que ceux des autres outils informatiques !
Tout en exhortant à nouveau (et plus activement !) ses clients à changer ce "code de passe" par défaut, Tranax s'apprête aussi à publier un nouveau firmware qui rendrait la modification obligatoire avant la mise en service de l'appareil.
Mais le parc existant devra être modifié manuellement, et cela ne sera peut-être pas simple. Car au Etats-Unis les distributeurs de billets ne sont pas nécessairement la propriété d'une banque. N'importe qui peut en acheter, les placer quelque part et entrer dans le business de la distribution d'argent grâce à la commission qui est prélevée sur chaque transaction. Ce sont donc potentiellement des milliers d'individus qu'il faut prévenir et à qui il faudra expliquer la manipulation.
D'ici là, il risque désormais d'y avoir la queue devant les distributeurs Tranax Mini Bank 1500 !
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéLes bénéfices de l'IAM chez Sofinco, deux ans aprèsLes RSSI du monde bancaire à l'aube d'une vague de démissions ?Un nouveau Kerviel chez Morgan Stanley... comme prévuLes banques s'attendent à un nouveau KervielLe Ministre, la maîtresse et les dossiers secretsQuand Safari ouvre la porte de Windows... grâce à Internet ExplorerLe role management suscite l'intérêt des RSSIAntivirus : la révolution in the cloudKaspersky: Stéphane Le Hir monte en grade
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
