Des informations précieuses pour tout individu désireux de jouer avec ces automates, pour le fun mais surtout pour le profit. Le manuel contient en effet la liste des mots de passe par défaut qui protège cette interface, dont un fameux "master password". Or il se trouve que ces derniers ne sont modifiés que sur demande explicite de l'exploitant, ce qui laisse à penser qu'il ne doivent pas être souvent différents de ce que nous apprend la documentation.

The ATM is programmed with the passwords that the distributor
requests when the order is placed to program a new ATM. When
special passwords are not requested they are left at the
factory default (see your mini-bank operators manual)

Tranax Mini Bank 1500

Forcément, pour nous qui sommes habitués à nos jolis DAB enmurés qu'on opère par le panneau arrière, accessible depuis une salle dédiée à cette usage dont l'accès est généralement bien protégé, le fait qu'on puisse configurer l'engin depuis le clavier comme n'importe quel utilisateur semble un peu bizarre. C'est que les appareils concernés par cette faille ne sont pas de ce type. Ce sont des machines plus petites qui ne nécessitent pas d'infrastructure particulière pour fonctionner, si ce n'est une prise de courant, une ligne téléphonique et un peu de place, et qui ressemblent aux deux illustrations qui égayent ces lignes. Elles sont destinées à être implantées dans divers endroits comme des bars, des restaurants, des halls d'hôtel, des épiceries ou encore des stations-service, et à être opérées de manière simple, parfois même par le gérant de l'établissement qui les accueille.

Dès lors on commence à mieux comprendre comment notre fraudeur a pu parvenir à ses fins. Il trouve le manuel d'utilisation d'un de ces appareils et découvre la procédure pour accéder à sa configuration. Il essaye alors plusieurs distributeurs jusqu'à en trouver un dont le mot de passe n'a pas été modifié. Il peut alors le reconfigurer. Ces machines se rechargeant avec différents bacs, un pour chauqe type de de billets et le distributeur étant incapable de distinguer les billets[1], il faut lui indiquer ce que contient chaque bac. Et c'est forcément là que les bactéries attaquent. Le fraudeur désactive tous les bacs sauf celui de 20$ et le reconfigure comme contenant les billets de 5$. Et voilà. Il ne lui reste plus qu'à aller acheter une carte d'une valeur conséquente[2] et à la vider dans l'appareil, en n'oubliant pas la casquette pour les caméras de surveillance. Une fois son forfait accompli, il pourrait remettre la machine dans son état initial pour cacher son forfait, ce qu'a oublié[3] de faire l'homme qu'on voit dans cette vidéo de CNN.

On a ici un exemple parfait de sécurité par l'obscurité. Comme on peut le lire sur le site Web du constructeur incriminé, qui n'est pas le seul concerné d'ailleurs, les manuels ne sont pas distribués au tout venant :

user manuals and basic training manuals are available for
purchase through your Distributor. ATM software is available
for download on the authorized distributor and authorized
service provider (ASP) sections of this site. In order to
access this section you will need your unique username and
password given to you after becoming an authorized
distributor or ASP.

Triton RL5000

Et forcément, puisqu'on restreint l'accès à ces ressources, il est bien légitime de penser qu'elles n'iront pas se ballader un peu partout. Forcément. Sombre erreur, de la documention, ça s'échange, ça se vend, et c'est parfaitement illustré ici. Et la bévue est bien poussé jusqu'au bout dans la mesure où rien de particulier, en dehors de la connaissance de la procédure, n'est nécessaire pour accéder à ces interfaces de configuration, alors que les personnes à qui elles s'adressent ont les clés qui permettent d'ouvrir l'appareil. Considérant ceci, on pourrait très simplement améliorer le système : un interrupteur situé à l'intérieur de l'appareil qui permettrait de passer du mode normal au mode configuration par exemple. Quand le gars est en train de recharger l'appareil, personne ne retire, et quand il n'est pas là, personne n'est censé devoir reconfigurer le bignou. L'accès à l'un ou l'autre des modes est exclusif, donc pas de problème. Heureusement, des patches sont en chemin pour les quelques 250000 machines en production qui seraient concernées par ce soucis. Il ne restera plus qu'à les déployer... Good luck, Jim.

Comme quoi, le "personne ne saura jamais comment ça marche, donc on peut dormir tranquille" est encore de mise. Car c'est bien connu, personne n'est jamais au courant des cheatcodes disponibles par exemple sur les jeux, bornes d'arcades comprises... Décidemment, le monde de la sécurité informatique n'aura jamais fini de m'émerveiller...

Notes

[1] Les billets américains ont par exemple tous les même taille

[2] En Amérique du Nord, on peut en effet acheter des cartes de retrait prépayées.

[3] Il a quand même fallu dix jours pour quelqu'un signale le "problème"...