Selon Brian Krebs, journaliste américain spécialiste en cybersécurité, le Bureau fédéral d’enquête (FBI) des Etats-Unis, a récemment avertit les banques que des cybercriminels prévoiraient de mener une attaque au niveau mondial sur les distributeurs automatiques de billets (DAB).
Des opérations seraient en effet en cours pour compromettre des institutions financières, ou des prestataires de service de paiement, avec des logiciels malveillants. L’objectif serait d’accéder aux informations de cartes bancaires et d’exploiter l’accès au réseau pour opérer des vols massifs sur des DAB.
Les distributeurs automatiques de billets sont une cible depuis un certain temps. Lors de la conférence Black Hat 2010 aux USA, l’expert en cybersécurité Barnaby Jack avait en effet démontré que des distributeurs mal sécurisés pouvaient donner de l’argent à la demande. Mais cela nécessitait un accès physique à des machines non patchées, ce qui n’est désormais plus le cas.
La menace d’attaque repérée par le FBI est en effet différente et plus dévastatrice : les criminels s'infiltrent dans l'infrastructure informatique de la banque pour voler et cloner des cartes bancaires, supprimer les contrôles de fraude et les limites de retrait. Puis, ils coordonnent des retraits à grande échelle sur des DAB afin de voler de grosses sommes d'argent : ceci est une technique bien connue. En 2008, une attaque avait visé la Royal Bank of Scotland (RBS) et permis de voler 9 millions de dollars en moins de 12 heures, via plus de 2 100 DAB. Depuis, les piratages ciblant des institutions financières se sont succédé, avec notamment le cyber-braquage de la Banque Centrale du Bangladesh en 2016 et plus de 81 milliards de dollars dérobés, pour des causes similaires : une mauvaise sécurisation de l’infrastructure IT, et plus particulièrement des accès à privilèges.
Dans ces types d’attaques, les cybercriminels utilisent des techniques simples, telles que le phishing, pour compromettre le terminal d’un employé, augmenter ses privilèges et se déplacer latéralement sur le réseau. Ils peuvent ainsi étudier l'infrastructure de sécurité et éviter les contrôles, déchiffrer les données et préparer un assaut coordonné sur les DAB. Il s’agit alors d’un "chemin de moindre résistance", c’est-à-dire un accès facile et peu sécurisé. En effet, les hackers peuvent voler une quantité significative d’argent, en peu de temps et sans faire sonner d’alarmes, puisqu’ils contrôlent alors entièrement l'organisation.
Le FBI exhorte aujourd’hui les banques à examiner la façon dont elles gèrent leur sécurité. Il les encourage en effet vivement à mettre en place des exigences strictes en matière de mots de passe, ainsi que de double authentification avec, lorsque cela est possible, l’utilisation d’un jeton d’authentification physique ou digital pour les administrateurs locaux. L’objectif est de verrouiller les accès à privilèges. De manière générale, il existe trois principes fondamentaux à suivre pour protéger efficacement une entreprise :
- Patcher encore et toujours : qu'il s'agisse de distributeurs automatiques, de systèmes financiers, d'une infrastructure informatique ou de points d'accès, les attaquants recherchent des vulnérabilités pour pénétrer le réseau. C'est une chose d’être victime d'une attaque de phishing sophistiquée ; cela en est une autre de laisser une porte principale ouverte sur le coffre-fort.
- Contenir l'attaque en sécurisant les accès à privilèges : les hackers visant les DAB recherchent activement les points d’accès dotés de droits d'administrateur locaux. La suppression de ces droits empêche donc les pirates de s’introduire sur le réseau et d'installer des logiciels malveillants. De plus, les identifiants d'administrateur de domaine, les clés SSH (Secure SHell) à privilèges, ainsi que tous les accès vers des comptes ou des systèmes sensibles doivent être verrouillés et contrôlés. En sécurisant de façon centralisée les identifiants à privilèges, en contrôlant l'accès en fonction du rôle d’un employé, et en imposant une double authentification, les criminels ne peuvent pas se déplacer dans l'environnement pour supprimer les contrôles de sécurité et exécuter leurs attaques.
- Surveiller en continu : presque toutes les attaques visant des banques débutent via leurs réseaux. En surveillant étroitement ces derniers, en fonction des événements ou des modèles d’activités habituelles, les entreprises peuvent déterminer si un attaquant est en train de pirater les identifiants et d’accéder à des actifs sensibles, tels que les DAB. Il est primordial que les organisations puissent être en mesure de détecter et de traiter rapidement tout comportement malveillant.
Les cybercriminels innovent et améliorent sans cesse leurs tactiques pour atteindre leur objectif final. Ils s’adaptent en effet aux avancées technologiques et aux outils de sécurité déployés par les entreprises. Afin d’y faire face, les organisations, toutes industries confondues, doivent donc constamment redoubler d’effort et gérer étroitement leur cyberprotection. Ainsi, elles pourront repérer en temps réel toute tentative d’attaque et la contenir avant que des actifs ne soient compromis.