IV. Les risques:
Malgré une sécurité matérielle et logicielle plutôt renforcée, des risques subsistent.
Pour l'utilisateur, tout d'abord, les risques de vol: les vols de sacs ou de cartes bancaires sont quotidiens, et si le code est incrit sur un papier accompagnant la carte ou que le voleur a réussi à voir le code tapé par l'utilisateur en l'espionnant, il peut très facilement retirer et utiliser l'argent à sa guise. Il existe également les vols en ligne, par exemple avec des sites de ventes frauduleux, sur lesquels l'utilisateur rentre son code immédiatement récupéré par le voleur. Certains voleurs n'hésitent pas à employer des techniques avancées, en installant des caméras ou encore des pièges à cartes, puis récupèrent les informations et/ou les cartes, et peuvent ainsi retirer l'argent comme bon leur semble ou encore faire des copies contrefaites des cartes. Le wifi et les SMS sont parfois mis à profit pour récupérer les données à distance.
Source ZDNet
Une première filière utilisant la technique de skimming pour pirater des comptes bancaires, aurait été démantelée. En Bulgarie, trois personnes ont été interpellées, rapporte Associated Press, soupçonnées d'avoir recouru à cette méthode qui consiste à équiper notamment les distributeurs de billets de deux caches, l'un appliqué sur la fente d'insertion de la carte bancaire, l'autre sur le clavier.
Dans certains cas, une caméra est également utilisée pour collecter les codes secrets. Les pirates se procurent ces caches auprès de fabricants, reproduisant à l'identique le modèle du distributeur élu pour le forfait. Les données récupérées permettent de fabriquer de fausses cartes, utilisables dans le monde entier à l'insu de la victime.
Une première filière utilisant la technique de skimming pour pirater des comptes bancaires, aurait été démantelée. En Bulgarie, trois personnes ont été interpellées, rapporte Associated Press, soupçonnées d'avoir recouru à cette méthode qui consiste à équiper notamment les distributeurs de billets de deux caches, l'un appliqué sur la fente d'insertion de la carte bancaire, l'autre sur le clavier.
Dans certains cas, une caméra est également utilisée pour collecter les codes secrets. Les pirates se procurent ces caches auprès de fabricants, reproduisant à l'identique le modèle du distributeur élu pour le forfait. Les données récupérées permettent de fabriquer de fausses cartes, utilisables dans le monde entier à l'insu de la victime.
D'autres personnes volent uniquement l'argent du distributeur, sans passer par un compte bancaire. En effet, ils détruisent en partie ou volent directement le distributeur, grâce à des véhicules, des explosifs, des outils, etc... comme en témoigne cette vidéo:
Mais il existe également certaines failles de sécurité au niveau logiciel, permettant à un pirate expérimenté de contrôler la machine à distance ou retirer l'argent comme bon lui semble.
Par exemple, certains utilisateurs arrivaient à accéder à un menu administrateur de façon très simple, car le code d'accès d'origine, 123456 ou encore 987654 n'avait pas été modifié lors de la mise en route de l'appareil. Certaines fois, des bugs informatiques rendent la machine “généreuse” en donnant des billets de valeur plus élevée que ceux demandés, ou alors la personne chargée de remplir les cassettes se trompe en mettant des billets de 20 au lieu de billets de 5.
Enfin, certains spécialistes n'hésitent pas à prouver l'insécurité des distributeurs, aidant ainsi les constructeurs et les banques à améliorer le fonctionnement de leurs machines, comme Barnaby Jack lors de la conférence Black Hat de juillet 2010.
Au cours de sa présentation, il présenta deux méthodes de piratage:
-une première, matérielle et logicielle, grâce à une clé maître achetée sur internet et un support USB, permettant de modifier le logiciel interne du distributeur
-une deuxième, logicielle, en utilisant une connexion à distance et en exploitant une faille du système
Il a ainsi pu faire sortir les billets contenus dans les distributeurs de façon automatique, en affichant un joli “Jackpot” sur l'écran. Bien sûr, ces failles avaient été corrigées par les constructeurs des distributeurs Tranax et Triton plusieurs mois avant la conférence.
Au fil du temps, de nouvelles sécurités sont apparues:
-généralisation des cartes à puce, 20 fois plus sûres que celles à bande magnétique, et du code à 3 chiffres inscrit derrière la carte, nécessitant ainsi d'avoir la carte entre les mains pour effectuer toute transaction
-modernisation des DAB régulière
-suppression du numéro de carte sur les tickets de retrait
-amélioration des modalités d'opposition en cas de vol
De plus, certains documents préventifs visant à prévenir et conseiller l'utilisateur sont apparus, comme celui-ci :
La Lettre des Cartes Bancaires
La plupart des failles logicielles ont été corrigées aujourd'hui mais il en subsiste certainement d'autres. Le paramètre le plus important reste tout de même la vigilance.
Récemment encore, des distributeurs de bilets ont été attaqués de façon violente, montrant que leur sécurité n'est pas encore au point:
Source Le Figaro
Maillons faibles du système bancaire il y a encore quelques années, les distributeurs automatiques de billets ont vu leur sécurité renforcée. De façon inégale.
Deux attaques de distributeur automatique en deux jours, dont l'une semble-t-il a réussi. De quoi s'interroger sur la sécurité des «DAB», dernier maillon de la chaîne de circulation des billets, qui s'étend du centre fort, où sont chargés les convoyeurs de fonds et les mains du client.
Malgré ces deux évènements récents, le nombre total d'attaque a reculé, selon le ministère de l'Intérieur. En 2009, 60 attaques ont été recensées, contre 37 en 2010 jusqu'à ce jour. Parmi ces opérations, 70% environ ont échoué, a précisé le ministre de l'Intérieur Brice Hortefeux devant les députés. «Dans les années 90, il y en avait environ 50 par an, ça évolue en dents de scie», explique Georges Jousse, expert indépendant en sécurité bancaire. Des chiffres à mettre en perspective : la France compte environ 60.000 distributeurs de billets.
Maillons faibles du système bancaire il y a encore quelques années, les distributeurs automatiques de billets ont vu leur sécurité renforcée. De façon inégale.
Deux attaques de distributeur automatique en deux jours, dont l'une semble-t-il a réussi. De quoi s'interroger sur la sécurité des «DAB», dernier maillon de la chaîne de circulation des billets, qui s'étend du centre fort, où sont chargés les convoyeurs de fonds et les mains du client.
Malgré ces deux évènements récents, le nombre total d'attaque a reculé, selon le ministère de l'Intérieur. En 2009, 60 attaques ont été recensées, contre 37 en 2010 jusqu'à ce jour. Parmi ces opérations, 70% environ ont échoué, a précisé le ministre de l'Intérieur Brice Hortefeux devant les députés. «Dans les années 90, il y en avait environ 50 par an, ça évolue en dents de scie», explique Georges Jousse, expert indépendant en sécurité bancaire. Des chiffres à mettre en perspective : la France compte environ 60.000 distributeurs de billets.