# Systmes > Windows > Scurit >  Voler un distributeur de billet  l'aide de deux SMS

## Stphane le calme

*Voler un distributeur de billet  l'aide de deux SMS ?* 
*Un scnario qu'expose Symantec   * 

A moins de deux semaines de la fin du support de Windows XP, Symantec a publi des informations relatives  de potentielles attaques contre un distributeur de billet sous Windows XP. Dans son expos, lditeur commence par rappeler les mfaits dun malware baptis Ploutus, qui permettait  aux attaquants muni dun clavier externe de forcer le guichet automatique  faire sortir des liquidits. Quelques semaines plus tard, une variante nomm Ploutos.B a t dcouverte.

 Ce qui est intressant avec cette variante, cest quelle permet aux cybercriminels de simplement envoyer un SMS au DAB compromis avant de sen approcher et de collecter largent distribu. Cela peut sembler incroyable mais cette technique est utilise actuellement dans de nombreux endroit  travers le monde  crit lditeur.

Voici dans les grandes lignes comment fonctionne cette attaque :
 lattaquant commence par ouvrir la partie intrieure du distributeur pour pouvoir infecter le PC. ensuite, il insre dans le lecteur optique un CD sur lequel se trouve le malware en question puis il reboote la machine l'attaquant installe Ploutus.B sur un DAB en connectant un tlphone mobile  la machine via un cble USB (Ce tlphone servira de point daccs distant au systme du distributeur). le pirate peut passer  laction. Il commence par  envoyer deux SMS au tlphone dans le DAB. Le premier contiendra le code dactivation de Ploutus.B tandis que le second contiendra une commande  valide pour obtenir l'argent (transmis sous forme de paquet TCP ou UDP) le Malware Ploutos.B reconnat le code en question et gnre la commande de retrait dargent.




Pour se protger contre ce type dattaque, Symantec appelle  la mise  niveau des DAB vers des versions plus rcentes de Windows (7 ou 8/8.1). Par la suite lditeur conseil dinterdire au niveau du BIOS le dmarrage par CD-ROM. Et enfin, il recommande de chiffrer les disques durs des DAB et utiliser un logiciel de scurit ddi.

*Source :* Symantec

*Et vous ?*

 ::fleche::  Qu'en pensez-vous ?

----------


## TiranusKBX

il est sre que dvelopper les systmes des DAB sur Windows tait rapide;
mais ces piratages taient courus d'avance vus la difficult de nombreux de fabricant  scuriser leur machine windows

et comme les fabricant de DAB se plaignent de devoir repayer windows pour leurs nouveaux DAB et envisage de passer  du linux
ils orrons le mme problme : des systmes JAMAIS correctement MIS A JOUR
car il ne vont jamais dev de MAJ

----------


## Blount

Non mais au-del de l'OS utilis, je remarque un problme beaucoup plus grave. Si je comprend bien, les personnes parviennent  accder au PC de l'extrieur ? Non, mais c'est tout de mme incroyable.
Ils arrivent  accder  une prise USB,  effectuer un reboot, etc. Je suis dsol, mais l'OS aura beau tre chang (Win 7 ou encore du Linux), pour moi, rien n'empchera d'autre faille.

Rendre inaccessible le PC serait pour moi la premire chose  faire. Parce que les malware exploitent surtout ce problme et non pas une faille dans Windows (de ce que j'ai compris).

----------


## yoyo3d

Enfin , moi , je sais pas , mais pour moi le plus dure c'est avant tout de pouvoir approcher la machine  :8O: , je me vois tout a fait arriver devant la machine avec mon tournevis et mon disque contenant "ploutos.B"....
et j'ai beau essayer de me souvenir, mai j'ai jamais vu de cable USB sur les DAB, (peut etre derriere, j'ai pas regarder... ::mouarf:: )

----------


## Bestel74

> et comme les fabricant de DAB se plaignent de devoir repayer windows pour leurs nouveaux DAB et envisage de passer  du linux
> ils orrons le mme problme : des systmes JAMAIS correctement MIS A JOUR
> car il ne vont jamais dev de MAJ


WAT ? Tu veux dire que sous Linux a ne sera jamais mis  jour ?  ::weird:: 

Plus srieusement, je pense que dans ce cas il faut plutt se demander comment ils ont eu l'accs  l'ordinateur, plutt que de scuriser la machine avec une solution Symantec  ::aie:: 

Parce que insrer un CD, rebooter, brancher un tlphone USB... euh le problme vient vraiment de Windows XP ? Ou du BIOS non configur ? Je penche pour la 2e solution. Remarque vu que c'est un peu la fte cette attaque, ils ont peut-tre eu le temps de dmonter la machine et faire un clear CMOS, avec le caf  cot  ::ptdr:: 

Et puis pourquoi un tlphone ? Plus discret qu'une cl Bluetooth/wifi ?

----------


## helmi.dridi

Il fallait attendre le 1 er avril pour publier cette article (Un poisson davril).

----------


## tontonnux

> WAT ? Tu veux dire que sous Linux a ne sera jamais mis  jour ?


Je pense que ce qu'il veut dire c'est que dans l'quation tu as plusieurs couches. L'OS en est une, mais l'application qui tourne dessus en est une autre.
Son ide n'est pas de dire Linux n'est pas mis  jour, mais le fait que l'OS soit  jour ne garantit pas que l'application elle-mme ne puisse tre casse. Et dans ce cas, il met un doute sur le fait que cette couche soit mise  jour  un bon rythme.

----------


## transgohan

Encore un bon article montrant que le problme principal n'est pas windows XP.
En scurit on ne peut pas que se reposer sur un OS.
Il faut aussi considrer le facteur matriel et le facteur humain.

----------


## Arnard

Windows ou linux, ici c'est un dtail. Le gros problme est l'accs physique  la machine. 
Cl bluetooth/wifi : ce ne serait pas discret dans le sens "prsence". Un mec qui passe  cot du dab, et qui voit qu'il existe un point d'accs wifi... Le tlphone est plus discret. 

De toute manire le malware fait tout, le tel ne sert que de rcepteur.

En fait je rejoins compltement Blount.

Bon, vous m'excuserez, j'ai une recherche google qui m'attend !

----------


## Pilru

> lattaquant commence par ouvrir la partie intrieure du distributeur pour pouvoir infecter le PC.


 ::lol::  Non srieusement... S'il y a des pays ou l'accs au local GAB n'est pas scuris, le problme ce n'est pas Windows XP  ::roll::

----------


## pro132000

> Encore un bon article montrant que le problme principal n'est pas windows XP.
> En scurit on ne peut pas que se reposer sur un OS.
> Il faut aussi considrer le facteur matriel et le facteur humain.


je suis d'accord avec toi. Le plus surprenant c'est de voir que ces pirates ont facilement acces au DAS, il faut deja les en empecher pour parler d'une eventuelle securite sinon on aura beau proteger l'OS et sans succes

----------


## NahMean

> Voler un distributeur de billet  l'aide de deux SMS ?


Donc au final en lisant l'article c'est 2 SMS, et ajouter  cela une perceuse, dfonceuse, une voiture blier, ... bref oui c'est possible, mais a ce niveau la on ne parle plus de scurit informatique, dans ces cas la mme si on dporte le PC, sa reste faisable pour la majorit des tars qui vont s'y essayer.

----------


## kolodz

Il faut bien se rendre compte que cette problmatique des distributeurs est spcifique au Etat-Unis. O la relation avec la monnaie n'est pas la mme...
Vous ne trouverez jamais un distributeur de monnaie "pos" au milieu de la rue ou d'un centre commercial en France. Sauf qu'au Etat Unis, cela est courant et normal.
De mme les personnes qui rechargent ces distributeurs ne sont pas en fourgon blind... juste en tenu de travail... Du coup, voir un technicien ouvrir un distributeur au Etat-Unis n'a rien de surprenant... Ce qui fait que cette approche est possible.

Cordialement,
Patrick Kolodziejczyk.

----------


## Pilru

> Vous ne trouverez jamais un distributeur de monnaie "pos" au milieu de la rue ou d'un centre commercial en France


Cela existe en France. Pas poser en plain milieu de la rue, mais dans des grandes surfaces.

----------


## Invit

> Qu'en pensez-vous ?


C'est bien connu, tout le monde a accs  l'intrieur d'un DAB pour plugger un mobile en USB  ::aie:: 

En revanche, je trouve a trs tonnant que Symantec poste autant de dtails sur cette vulnrabilit.
A moins que le type de la video soit le cerveau du gang mexicain  l'origine de l'arnaque  ::mrgreen:: 

Steph

----------


## Mr_Exal

> Non mais au-del de l'OS utilis, je remarque un problme beaucoup plus grave. Si je comprend bien, les personnes parviennent  accder au PC de l'extrieur ? Non, mais c'est tout de mme incroyable.
> Ils arrivent  accder  une prise USB,  effectuer un reboot, etc. Je suis dsol, mais l'OS aura beau tre chang (Win 7 ou encore du Linux), pour moi, rien n'empchera d'autre faille.
> 
> Rendre inaccessible le PC serait pour moi la premire chose  faire. Parce que les malware exploitent surtout ce problme et non pas une faille dans Windows (de ce que j'ai compris).


Une perceuse avec une tte "cloche" et a suffit hein.

----------


## FxMacCobra

Cette vido m'a bien fait rire.
Je ne sais pas pour les Etats-Unis mais en Europe (et mme ceux que j'ai vu au Maroc), les automates qui sont dans la rue ou plus prcisment pas  l'intrieur d'une agence, ne peuvent s'ouvrir en faade.

Pour ce qui suit, je ne peux parler que du cas franais puisque ce ne sont que pour ces derniers que j'ai travaill.

Quand on ouvre un automate, il y a un capteur de prsence qui s'active et signale que le panneau est ouvert. Cela permet de passer l'application en mode maintenance (notamment pour afficher un message "Automate momentanment indisponible") et cela est enregistr dans le journal et sur l'imprimante journal. Il faut savoir que les banques les rcupre rgulirement ces lments. Donc, si une opration est faite sur l'automate alors qu'elle n'tait pas planifie cela se sait.

Dans les packaging de plateforme (comprenant l'OS customis, les drivers, l'application,...) qui sont livrs au client,  beaucoup des lments de windows sont dsactivs dont notamment le plug de nouveaux priphriques USB, du clavier/souris et le lecteur CD/DVD mais galement certains services de windows. Les automates en production ont leur BIOS protg par un mot de passe. 

Aussi les attaques dcrites ici me paraissent un peu difficiles  raliser avec les plateformes sur lesquelles j'ai travailles.
Aprs ce que l'on fait en France n'est pas forcment fait aux tats-Unis.

----------


## I_Pnose

Moralit, pour pirater un DAB il faut tre employ de banque et avoir accs  larrire-boutique... cest original. Bon, mais cest certainement imputable  Windows XP ; si ce dernier tait capable de poser des piges  loup dans le local, on nen serait pas l !

----------


## Mr_Exal

> Moralit, pour pirater un DAB il faut tre employ de banque et avoir accs  larrire-boutique... cest original. Bon, mais cest certainement imputable  Windows XP ; si ce dernier tait capable de poser des piges  loup dans le local, on nen serait pas l !


C'est vrai qu'acheter une perceuse c'est pas donn  tout le monde  ::ptdr::

----------


## kolodz

> Cela existe en France. Pas poser en plain milieu de la rue, mais dans des grandes surfaces.


Oui, mais encastr dans un mur...

----------


## Mr_Exal

> Oui, mais encastr dans un mur...


Pas toujours hein.

----------


## Pilru

> Oui, mais encastr dans un mur... .


Non, pas forcement. Il y en a un prs de chez moi qui est install dans un magasin, contre un pilier juste aprs l'entre du magasin.

----------


## I_Pnose

> C'est vrai qu'acheter une perceuse c'est pas donn  tout le monde


Pardonne mes lacunes manifestes pour tout ce qui concerne de prs ou de loin le bricolage mais... comment tu fais pour accder  lordinateur dun DAB avec une perceuse ? Tentame le mur quil y a autour ?

EDIT:
Ok, je viens de lire les derniers commentaires, tout s'explique (je n'ai jamais vu ces machines autrement qu'encastres dans un mur, mais je vous crois sur parole).

----------


## Mr_Exal

> Pardonne mes lacunes manifestes pour tout ce qui concerne de prs ou de loin le bricolage mais... comment tu fais pour accder  lordinateur dun DAB avec une perceuse ? Tentame le mur quil y a autour ?
> 
> EDIT:
> Ok, je viens de lire les derniers commentaires, tout s'explique (je n'ai jamais vu ces machines autrement qu'encastres dans un mur, mais je vous crois sur parole).


Il y a des DAB qui sont accessibles par trois cts (voire 4) parfois donc a reste encore faisable (bon, c'est sr que c'est pas la majorit par contre).

edit: Bon par contre le mec qui l'attaque  la perceuse dans le magasin est un peu grill  un moment donn  ::mrgreen::

----------


## TiranusKBX

de toute manire quand tu veut attaquer un DAB tu t'y prend de nuit non ?

----------


## Mr_Exal

> de toute manire quand tu veut attaquer un DAB tu t'y prend de nuit non ?


Justement non, plus il y a de monde et mieux c'est.

----------


## laurent1133

Heu ! Si le dab est ouvert n est il pas plus simple de prendre l argent sans passer par l ordinateur ??? !

----------


## TiranusKBX

la partie contenant largent tant un coffre fort c'est loin d'tre simple

----------


## Pilru

Il doit aussi y avoir un protocole  respecter pour accder aux cassettes sans causer la perte des fonds (marquage)...

----------


## azmar

Et moi depuis que windows XP ne va plus tre mis  jour j'ai trouv comment dvaliser une banque avec seulement un sac de sport et un tlphone portable! !


Le piratage se fait en deux tapes :

1 : Le pirate accde au coffre de la banque muni d'un sac de sport.
2 : Il remplis le sac de sport d'agent et ressort en toute impunit

Il est maintenant libre de tlphoner avec son tlphone portable  un taxi afin de rentrer chez lui.

Si seulement on avais install linux !!!!!

Azmar

Edit : S'il vous plais serait-il possible de dplacer le message en news?  afin que toute la communaut puisse prendre conscience de cette vulnrabilit!

----------


## TiranusKBX

mdr
et en prime il laisse un chocobo fienter partout dans la banque  ::mrgreen::

----------


## Metalman

En effet, pour une bonne "scurit" il faut appliquer le principe de "scurit en profondeur" => on blinde la machine, on blinde l'UC, on blinde les devices, puis on blinde le soft (OS et logiciel).

Car " mon avis" mme si l'UC est protge, les diffrents devices (clavier, distribution des billets, ...) sont relis en USB. (car aujourd'hui il existe divers protocoles qui sont relis en USB et qui encapsulent les "anciens" protocoles... car c'est moins cher  fabriquer : cf le ccTalk pour les distributeurs de boissons/snacks)
Il suffit donc de retirer l'un des devices pour brancher ce que l'on veut.

Ensuite, pour faire cette attaque, il faut "videmment" tre autoris  approcher l'appareil : tu viens avec ton sweat-capuche noir et un sac  dos... oui tu seras arrt sur le champ par n'importe qui li au magasin.
A l'inverse : tu viens habill en technicien ("bleu de travail"  dispo chez Auchan) avec n'importe quel badge bidon et une caisse  outils, personne ne t'embtera et tu auras tout ton temps pour tout trifouiller et ressouder en live un beau port USB sur les 4 petits fils coups du clavier.

Bon, c'est UN exemple, mais c'est un scnario trs possible qui repose sur :
- ing sociale (on se fait passer pour un techos, et personne ne peut vrifier sur le champ)
- non-blindage des devices et de leurs connecteurs
- faible volution des protocoles (c'est con  dire, mais utiliser du HDMI avec la partie chiffre... l a serait dj plus comique  outre-passer)

----------


## Mr_Exal

> - ing sociale (on se fait passer pour un techos, et personne ne peut vrifier sur le champ)


D'o la raison de venir en pleine journe quand c'est blind de monde  ::):

----------


## TiranusKBX

oui mais ce genre de coup ce prpare un peut avant car pour tre crdible tu doit avoir le badge de la bote de maintenance

----------


## Metalman

N'importe quel coup se prpare...
Je ne l'ai pas inclus, mais l'vident : ne pas dvoiler son visage aux camras de scurit... essayer de connaitre les interventions relles possibles pour venir le lendemain "rparer un petit bug qui a t oubli"/un outil oubli dans la machine, etc....
C'est du reprage, c'est classique et ncessaire...

Ceux qui se lancent sans prparation y vont avec la perceuse de nuit !  ::P:

----------


## DelphiManiac

> *...*
> *Et vous ?*
> 
>  Qu'en pensez-vous ?


Qu'un jour viendra (on peut toujours esprer) o on arrtera de prendre les gens pour des cons en essayant de leur faire croire au travers de titres racoleurs que l'information du sicle vient de tomber.

Juste 2 sms, mais bon il faut l'accs physique  la machine, insrer un CD, rebooter, ....

Enfin juste 2 sms :/

Question sincre : Vous avez besoin de faire de l'audience developpez.com ?

----------


## tchize_

> N'importe quel coup se prpare...
> Je ne l'ai pas inclus, mais l'vident : ne pas dvoiler son visage aux camras de scurit...


Man, tu t'emmerde, c'est pas comme a que a se fait. Tu file les outils  un gamin de 18 ans, il plug le tlphone, tu envoie les deux SMS pour faire sortir exactement 20.000 du distributeur, il te retrouve ailleurs, et tu fais 50/50

Toi, personne t'as vu  part le gamin que tu balance dans la Seine.

----------


## Mr_Exal

> Man, tu t'emmerde, c'est pas comme a que a se fait. Tu file les outils  un gamin de 18 ans, il plug le tlphone, tu envoie les deux SMS pour faire sortir exactement 20.000 du distributeur, il te retrouve ailleurs, et tu fais 50/50
> 
> Toi, personne t'as vu  part le gamin que tu balance dans la Seine.


Et qui te balance quand il se fait choper.  ::aie:: 

Dans ce genre de coup, mieux vaut agir seul et ne jamais l'ouvrir sur l'affaire.

----------


## tchize_

> Et qui te balance quand il se fait choper.


Oui, l'ide c'est justement qu'il sache pas qui tu es ^^

----------


## Mr_Exal

> Oui, l'ide c'est justement qu'il sache pas qui tu es ^^


"You are Mr Pink."

----------


## Metalman

Bon... qui va chercher un mme pour forcer l'appareil ?
Qui va dvelopper les quelques applis ?

Moi j'attends pour le faire ce casse !
...
Ah c'tait pas le but du topic finalement ?  ::aie::

----------


## kriska

Certains pensent que ce genre de problmes concernent des appareils dans des pays mergents mais c'est parce que comme certains l'ont mentionn, en france lorsque l'on parle de DAB on pense tout de suite  ceux encastr dans les murs au niveau des banques. Mais ils existent une multitude d'autres format de DAB beaucoup plus petit bien souvent et transportable. Ils y en a souvent dans les supermarchs mais pas seulement. Donc cette attaque n'pargne pas spcialement la France, on a peut-tre plus de chance de retrouver le coupable par la vido surveillance et encore mais c'est tout.

----------


## Mr_Exal

> Bon... qui va chercher un mme pour forcer l'appareil ?
> Qui va dvelopper les quelques applis ?
> 
> Moi j'attends pour le faire ce casse !
> ...
> Ah c'tait pas le but du topic finalement ?


Il y a plus simple  ::mrgreen::

----------


## arkhamon

Tout a me rappelle cette fameuse histoire de virus dont le mode d'action est : 
Installer le virus sur votre ordinateurexcuter le programme du virusrebooter l'ordinateurau message demandant si on veut bien excuter le virus rpondre "Oui" la demande de suppression de tous les fichiers, rpondre "Oui"regarder les fichiers disparatre en pleurant

No comment...

----------


## Kapeutini

ouais, je n'aurais aucun mal a faire un update du bios de la machine mais lui ouvrir le ventre 
devant une camra avant que la police n'arrive ...

----------


## Pelote2012

vu l'argent que a reprsente ... je ne vois pas pourquoi les fabriquant de DAB ne change pas d'OS... si je me rappelle quand win8 est sorti, il tait  29... Tu contactes tes clients (banques) que les DAB dates un peu et que pour des raisons de scurits il faudrait envisager un changement ... facturer XXXX par DAB. Je ne vois pas o est le problme .... c'est une question commerciale et seulement du fait qu'ils ont mal gr la fin de XP. a trop vouloir en gagner parfois on perd plus.

----------


## tchize_

Parce que le DAB que tu as maintenant, malgrs sa faille de scurit, il est certifi. On ne met pas  jour l'OS pour 29 dans un systme bancaire. Le nouveau DAB devra, je pense, passer par toutes une srie d'opration pour certifier qu'il est conforme  l'usage, qu'il ne fera pas de choses bizarres, que sa nouvelle couche rseau n'aura pas d'effet de bord sur le serveur, que l'application du DAB ne finira pas en erreur fatale dans un cas border line, upgrader le matriel parce que,  tous les coups, ce qui traine dans l'ATM n'est pas assez puissant pour une nouvelle version de windows et / ou changer d'OS et donc redvelopper toute l'application de l'ATM. Tout a reprsente un cot norme et du coup a explique probablement une certaine politique de l'autruche qui consisterait  dire: a va couter trs cher  mettre  jour, j'ai pas envie d'tre celui qui va avoir son service en ngatif pendant deux ans  cause de ces investissement qui ne rapportent rien, je laisse a  mon successeur  ::aie:: 

Et puis, on l'a encore vu avec la faille rcente de l'openSSL, avoir un systme  jour, c'est aussi dangereux. Dans ma boite, beaucoup de machine sont protges du problme heartbleed parce que.... trop vieilles, elles n'ont pas de support du protocole heartbeat   ::ptdr::

----------


## TiranusKBX

il existe une version trs lgre de seven qui marche avec des vieux pc
mais elle est pas simple  trouver

----------


## Mr_Exal

> il existe une version trs lgre de seven qui marche avec des vieux pc
> mais elle est pas simple  trouver


Le genre de version modifie de l'OS bourre de keyloggers et autres saloperies du mme genre ?  ::mrgreen::

----------


## TiranusKBX

mme pas une version made in Microsoft
Windows 7 Thin PC
qui permet aussi d'en faire des client pour la virtualisation

----------


## Mr_Exal

> mme pas une version made in Microsoft
> Windows 7 Thin PC
> qui permet aussi d'en faire des client pour la virtualisation


Autant (ou au temps as you wish) pour moi alors  ::):

----------


## ecureuilmasque

Vido US, ATM aussi. 
En France (mme si quelques un doivent bien trainer, je pense en particulier aux aroports/gares) les distributeurs sont dans des belles pices inaccessibles de l'extrieur (me semble-t-il).
C'est clair qu'accder au lecteur CD, aux prises USB...c'est du dlire (d'un autre ct j'suis mme pas sur qu'ils soient passs  la carte  puce)

Cocorico chante le coquelet ? Mme pas !

----------


## tchize_

> (d'un autre ct j'suis mme pas sur qu'ils soient passs  la carte  puce)


Ils ont la visa sans contact et sans code pin, dj dmontre piratage avec une "rallonge sans fil"

----------


## F-J-D

mes ce bizarre ils ont fait a en distance comment il s'avais que ici la ce la machine du distributeur de billets ?

----------

