Cybercriminalité : distributeurs de billets ou machine à sous ?

Cybercriminalité : distributeurs de billets ou machine à sous ?
Souveraineté numérique

 

Les logiciels malveillants visant les distributeurs de billets ont toujours la cote. Malgré des efforts de protection répétés, les pirates trouvent toujours de nouvelles méthodes pour attaquer ces systèmes informatiques somme toute sommaires. Sur ce créneau, un des malware les plus populaires actuellement est WinPot. Son petit plus : son interface singe celle d’une machine à sou.

Comme toujours dans le cas de la cybercriminalité, il s’agit d’un jeu du chat et de la souris. Les systèmes informatiques qui font fonctionner les distributeurs de billets sont en général assez basiques, afin d’offrir une vraie robustesse au service. La contrepartie c’est qu’une fois atteint par un malware, ils sont aisés à pirater. Si le pirate parvient à infiltrer le système, il peut très facilement demander au distributeur de vider toutes les caissettes qu’il contient.

Atteindre le port USB du distributeur, pour l’infecter avec un malware

Le mode opératoire de ces pirates est presque toujours le même : percer le distributeur pour accéder au port USB servant à sa maintenance et à son pilotage. Puis faire entrer un logiciel malveillant dont le but est de casser les différentes sécurités de la machine, notamment les systèmes de traitements des erreurs, les détections de malware ou la limitation du nombre de billets autorisés par distribution.

« Nous nous attendons à voir de nouvelles modifications des malwares ATM existants. La meilleure façon de protéger le distributeur contre ce type de menace consiste à utiliser un système de contrôle de l’appareil et à faire en sorte que l’appareil utilise un système de liste blanche pour les logiciels autorisés à fonctionner. Le premier bloquera le chemin USB d’implantation du logiciel malveillant directement sur le PC ATM, tandis que le second empêchera l’exécution de logiciels non autorisés sur celui-ci » a déclaré, dans un communiqué, la société de cybersécurité Kaspersky.

Les pirates de distributeurs sont de grands enfants

Et, justement, une nouvelle famille de logiciels malveillants a fait son apparition sur le dark web, depuis mars 2018. Il se nomme WinPot et vise un type précis de distributeurs, d’une marque précise (mais non officiellement identifiée), très populaire dans le monde entier. Le principe de WinPot ne diffère pas de ses prédécesseurs, comme le très populaire Cutlet Maker. Il casse les différentes sécurités du distributeur, et simule des transactions pour forcer la machine à vider ses caissettes de billets.

Mais ce qui le distingue, c’est son interface. Cutlet Maker s’amusait avec l’image d’un cuisinier, et des boutons « Vérifier la température » et « Commencer à cuire », qui avaient pour effet de vérifier le contenu des caissettes du distributeurs (jusqu’à quatre), puis de commencer à les vider.

WinPot transforme le distributeur en machine à sous…

WinPot laisse de coté ces amusements culinaires pour singer une interface de machine à sou – bien plus dans le thème du piratage. Un bouton « Scan » permet de vérifier le nombre de caissettes disponibles et les fonds qu’elles contiennent. Ensuite, sous le numéro de chaque caissette se trouve une touche « SPIN », bien connue des amateurs de casinos – c’est celle qui déclenche une partie de machine à sou en faisant défiler les différents symboles.

A la différence près qu’avec WinPot, le pirate est toujours gagnant. Car cette touche « SPIN » a pour effet de vider la caissette de son contenu. Ce choix d’interface est, somme toutes, assez logique, surtout quand on sait que le vidage des distributeurs est nommé, dans le milieu des pirates informatiques, « ATM jackpotting » (littéralement : « récupérer le jackpot d’un distributeur de billet»).

Vendu 1 000 $ sur le dark web

WinPot a été identifié par Kaspersky. Plusieurs nouvelles versions du logiciel, sous des noms divers, auraient déjà été proposé. Elles sont vendues en général aux alentours de 1 000 dollars (880 euros). En le révélant au grand jour, la société de cybersécurité alerte ses confrères sur ce danger. Et permet au jeu du chat et de la souris de reprendre.