Quand le DAB perd la boule...

ATM

n distributeur de billets qu'on peut reprogrammer pour donner des billets de 20$ à la place de ceux de 5$, juste en en tapotant sur le clavier, vous y croyez ? C'est pourtant ce qui s'est produit récemment en Virginie, aux États-Unis, malgré cette alerte de l'ATM Industrie Association et la Global ATM Security Alliance.

De prime abord, on se dit que ce n'est pas possible que quelqu'un ait pu concevoir un distributeur qu'on puisse reprogrammer juste comme ça. Et bien figurez-vous que si, c'est possible. Et pour m'en persuader, j'ai utilisé mon moteur de recherche préféré comme le suggère Dave Goldsmith de Matasano. Et effectivement, on peut trouver pleins d'informations en une petite dizaine de minutes sur le fonctionnement de ces gros jouets, en particulier un code permettant de basculer l'appareil en mode diagnostique/configuration.

Des informations précieuses pour tout individu désireux de jouer avec ces automates, pour le fun mais surtout pour le profit. Le manuel contient en effet la liste des mots de passe par défaut qui protège cette interface, dont un fameux "master password". Or il se trouve que ces derniers ne sont modifiés que sur demande explicite de l'exploitant, ce qui laisse à penser qu'il ne doivent pas être souvent différents de ce que nous apprend la documentation.

The ATM is programmed with the passwords that the distributor
requests when the order is placed to program a new ATM. When
special passwords are not requested they are left at the
factory default (see your mini-bank operators manual)

Forcément, pour nous qui sommes habitués à nos jolis DAB enmurés qu'on opère par le panneau arrière, accessible depuis une salle dédiée à cette usage dont l'accès est généralement bien protégé, le fait qu'on puisse configurer l'engin depuis le clavier comme n'importe quel utilisateur semble un peu bizarre. C'est que les appareils concernés par cette faille ne sont pas de ce type. Ce sont des machines plus petites qui ne nécessitent pas d'infrastructure particulière pour fonctionner, si ce n'est une prise de courant, une ligne téléphonique et un peu de place, et qui ressemblent aux deux illustrations qui égayent ces lignes. Elles sont destinées à être implantées dans divers endroits comme des bars, des restaurants, des halls d'hôtel, des épiceries ou encore des stations-service, et à être opérées de manière simple, parfois même par le gérant de l'établissement qui les accueille.

Dès lors on commence à mieux comprendre comment notre fraudeur a pu parvenir à ses fins. Il trouve le manuel d'utilisation d'un de ces appareils et découvre la procédure pour accéder à sa configuration. Il essaye alors plusieurs distributeurs jusqu'à en trouver un dont le mot de passe n'a pas été modifié. Il peut alors le reconfigurer. Ces machines se rechargeant avec différents bacs, un pour chauqe type de de billets et le distributeur étant incapable de distinguer les billets^[1], il faut lui indiquer ce que contient chaque bac. Et c'est forcément là que les bactéries attaquent. le fraudeur désactive tous les bacs sauf celui de 20$ et le reconfigure comme contenant les billets de 5$. Et voilà. Il ne lui reste plus qu'à aller acheter une carte d'une valeur conséquente^[2] et à la vider dans l'appareil, en n'oubliant pas la casquette pour les caméras de surveillance. Une fois son forfait accompli, il pourrait remettre la machine dans son état initial pur cacher son forfait, ce qu'a oublié^[3] de faire l'homme qu'on voit dans cette vidéo de CNN.

On a ici un exemple parfait de sécurité par l'obscurité. Comme on peut le lire sur le site Web du constructeur incriminé, qui n'est pas le seul concerné d'ailleurs, les manuels ne sont pas distribués au tout venant :

user manuals and basic training manuals are available for
purchase through your Distributor. ATM software is available
for download on the authorized distributor and authorized
service provider (ASP) sections of this site. In order to
access this section you will need your unique username and
password given to you after becoming an authorized
distributor or ASP.

Et forcément, puisqu'on restreint l'accès à ces ressources, il est bien légitime de penser qu'elles n'iront pas se ballader un peu partout. Forcément. Sombre erreur, de la document, ça s'échange, ça se vend, et c'est parfaitement illustrée ici. Et la bévue est bien poussé jusqu'au bout dans la mesure où rien de particulier, en dehors de la connaissance de la procédure, n'est nécessaire pour accéder à ces interfaces de configuration, alors que les personnes à qui elle s'adressent ont les clés qui permettent d'ouvrir l'appareil. Considérant ceci, on pourrait très simplement améliorer le système : un interrupteur situé à l'intérieur de l'appareil qui permettrait de passer du mode normal au mode configuration par exemple. Quand le gars est en train de recharger l'appareil, personne ne retire, et quand il n'est pas là, personne n'est censé devoir reconfigurer le bignou. L'accès à l'un ou l'autre des modes est exlusif, donc pas de problème. Heureusement, des patches sont en chemin pour les quelques 250000 machines en production qui seraient concernées par ce soucis. Il ne restera plus qu'à les déployer... Googd luck, Jim.

Comme qui, le "personne ne saura jamais comment ça marche, donc on peut dormir tranquille" est encore de mise. Car c'est bien connu, personne n'est jamais au courant des cheatcodes disponibles par exemple sur les jeux, bornes d'arcades comprises... Décidemment, le monde de la sécurité informatique n'aura jamais fini de m'émerveiller...

Notes

[1] Les billets américains ont par exemple tous les même taille

[2] En Amérique du Nord, on peut en effet acheter des cartes de retrait prépayées.

[3] Il a quand même fallu dix jours pour quelqu'un signale le "problème"...

Commentaires

1. Le lundi 25 septembre 2006 à 07:47, par Bruno Kerouanton

Et moi qui pensais que c'était un pur hoax, quand j'avais lu cette histoire... Mais en effet, à force de travailler dans la sécu (et encore plus lorsque l'on s'intéresse aux systèmes embarqués), on se rend compte qu'il y a *plein plein* de mots de passe en dur, easter eggs etc... alors pourquoi pas finalement !

2. Le mercredi 27 septembre 2006 à 00:12, par Julien

Pourquoi faire compliqué quand on peut faire simple ?! Il y a tellement de matos soit disant 'sécurisé' par l'obscurité !

3. Le mercredi 27 septembre 2006 à 10:44, par Yann

Très intéressant ton ticket, mais ça fait vraiment peur. Je n'arrive pas à comprendre comment on peut laisser des fonctionnalités pareilles accessible directement depuis l'ATM, c'est juste stupide !

Et comme le dit Julien, c'est pas le premier matériel qui est sécurisé par l'obscurité (ca me rappelle une histoire à propos des distributeurs de tickets pour les transports publiques).

Le monde bancaire est très entendu ces derniers temps, entre les nombreuses attaques sur les systèmes de eBanking, et maintenant sur les ATM :)

lun	mar	mer	jeu	ven	sam	dim
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

Ma petite parcelle d'Internet...

Notes

Trackbacks

Commentaires

Ajouter un commentaire

Rechercher

Calendrier

Hitmap

Dans la catégorie "(In)Sécurité"

Langues

Catégories

Archives

Liens

Chez moi (from me)

Webcomics

Copains (friends)

Blogs

Liens

Syndication