mai 30th, 2011

Il y a la théorie et la pratique, la science du hacker-conférencier-spécialiste qui s’adresse à un petit cénacle de savants, et il y a le lumpenproletariat de l’exploit, le tâcheron de la cyber-escroquerie qui ne s’intéresse qu’aux « low hanging fruits ». Deux optiques qui souvent s’opposent, mais qui parfois se rejoignent avec une précision chirurgicale. C’est le cette semaine des appareils de lecture de carte bancaire dotées de puces.

Côté théorique, cette analyse signée Inverse Path/Aperture labs, notamment cosignée par Adam Laurie, le pourfendeur pythonisé des RFID et des centres de calcul hébergés dans des bunkers antiatomiques. De nombreuses carences frappent les cartes de crédit Visa/Mastercard/Europay. A commencer par un déploiement encore loin d’être universel, par des procédures de repli utilisant encore trop souvent la piste magnétique de la carte, depuis longtemps réputée peu fiable…

Viennent ensuite les hack matériels, continue l’étude en question. Comme d’habitude dès qu’il s’agit d’une application « technologique », les promoteurs de la norme ou du procédé clament à qui veut bien l’entendre que le « reverse » de leur technique est d’une complexité digne de l’aéronautique. Hélas, les escrocs ne tentent jamais de briser les mécanismes de protection. Ils les contournent ou les compromettent par une attaque du milieu. C’est le rôle du skimmer, de la façade accolée sur un distributeur de billet, qui photographie le code pin au moment où il est entré, et qui enregistre au passage les données de la piste magnétique. Tout çà relève plus du bricolage que de la « rocket science ».

Puis les pirates du DAB évoluent, s’adaptent. On trouve désormais des skimmers qui intègrent un clavier à membrane, lequel évide désormais toute erreur de lecture du code pin. Brian Krebs a longtemps écrit sur ce sujet et probablement dressé la liste la plus complète des traficotages possibles sur un distributeur de billets
Le dernier cri en matière de skimming, c’est le truandage des TPV, ou Terminaux Point de Vente (POS en anglais).

Il y a la technique de la rue, celle réellement utilisée par les truands, et (encore) décrite par Krebs. Le hack consiste, tout comme pour les skimmers de DAB, à ajouter un clavier-membrane intermédiaire et un peu d’électronique pour récupérer les données du lecteur de carte d’origine, stocker les informations et les transmettre via un lien Bluetooth au propriétaire du TPV trojanisé. Un tel appareil est vendu, nous apprend Krebs, entre 2000 et 3000 dollars selon la quantité.

L’équipe Inverse Path/Aperture labs, quant à elle, procède d’une manière toute aussi subtile, grâce à une carte interstitielle qui se glisse entre les contacts du lecteur CP8 et la carte elle-même. Un circuit imprimé de 2 ou 3 dixièmes d’épaisseur, voir un CI souple, peut faire l’affaire. Le tout est alimenté par les piles du TPV lui-même. Une nouvelle façon de concevoir l’attaque « man in the middle » et une astuce électronique vieille comme le monde. Dans tous les cas de figure, ce n’est pas le système de chiffrement ou le niveau de protection du firmware des TPV qui est compromis, c’est l’accès physique au canal d’échange de données entre le TPV et la carte d’une part, et entre le client et le TPV d’autre part.

On pourrait également associer ces deux informations avec un dernier fait-divers, celui relatant l’arrestation d’un certain Rodney Reed Caverly qui, un mois durant, à répandu un « virus sur-payeur » dans plusieurs distributeurs de billets automatiques. Cet informaticien employé par la Bank of America a ainsi pu soutirer un peu moins de 300 000 dollars. Il est condamné, outre une peine de 27 mois de détention, à rembourser les sommes détournées, augmentées de 134 000 dollars, coût estimé par Bank of America pour désinfecter ses systèmes. 134 000 dollars pour nettoyer une petite dizaine d’automates, les salaires de BoA mériteraient peut-être eux aussi un audit de sécurité.

On a beaucoup twitté et blogué sur ce détournement peu commun : la création d’une fausse page VirusTotal contenant elle-même un vecteur d’infection Java destiné à installer une porte dérobée. L’information a été rendue publique sur la Malware Domain List. VirusTotal est un frontal hébergeant 41 antivirus du commerce, utilisé aussi bien par les spécialistes sécurité que par les professionnels de la grande truanderie informatique. Le score de détection (n/41) donne le degré de visibilité et d’interception qui caractérise un malware. A qui donc peut profiter un malware visant les machines des testeurs de malwares ? Et par qui une telle attaque a-t-elle été lancée ? Autant de questions qui pourraient presque donner le ton d’un cyber-polar contemporain.

Facebook,nous apprend Softpedia, serait en train d’envisager très sérieusement d’offrir une « prime au trou » pour toute faille découverte et communiquée à l’éditeur. Les récentes publications de failles, soit effectivement exploitées à des fins néfastes, soit rendues publiques par des chercheurs indépendants par simple souci d’information, avaient largement défrayé la chronique ces 12 derniers mois et légèrement écorné l’image de marque de l’entreprise. Cette course à la prime défendue par différents éditeurs (du ZDI à Google en passant par Mozilla) non seulement limite les risques de divulgation sauvage puisque la prime n’est versée que dans le cadre d’un échange confidentiel, mais en outre transforme la sécurité en un centre de profit puisque la publicité faite autour des correctifs est une forme de promotion par la qualité que savent désormais largement exploiter les susnommés.

En France, la première réaction consisterait peut-être plus à tenter d’aggraver la situation en poursuivant l’inventeur de la faille, comme nous l’a démontré la récente affaire TMG et plus anciennement les affaires Kitetoa vs Tati ou Tegam vs Guillermito …