Barnaby Jack sera interdit de conférence lors de la prochaine Black Hat 2009, annonce Juniper dans un communiqué de presse laconique. Le gourou sécurité avait initialement prévu une conférence intitulée « Jackpotting Automated Teller Machines » (faire Jackpot avec un DAB). « Faire de telles révélations avant que les fournisseurs de distributeurs aient pu corriger les failles découvertes auraient, affirme l’équipementier, exposé à un risque certains de leurs clients». Il faut avouer que les banques américaines n’ont pas besoin de çà actuellement. Tout aurait été mis en œuvre pour tenter de déployer les correctifs nécessaires avant la fin de la BH, mais en vain… Barnaby Jack ne pourra pas parler des trous de sécurité des DAB américains.
Le mois dernier, plusieurs chasseurs de virus, dont l’anglais Sophos, avait mis en évidence l’existence de troyens keyloggers découverts dans certains distributeurs. Bien évidemment, en France, pays où la sécurité bancaire fait pâlir d’envie les amateurs de la finance que sont les Helvètes, de tels défauts sont hautement improbables. Et quand bien même cela serait que nos Grands Argentiers possèdent une technique bien à eux pour faire taire toute rumeur et « patcher » d’un coup l’ensemble d’un parc de DABs, ainsi nous le rappelle cet article de Legalis.net à propos de l’affaire Humpich.
Barnaby Jack, qui ne craint pas trop la hargne des avocats du GIE Cartes Bancaires, s’était déjà illustré, lors de la BH 2006, en montrant combien il était facile de hacker des systèmes embarqués. Sa technique, fort répandue depuis grâce à des « fuzzer hardware », consistait à effectuer des intrusions dans les firmwares embarqués via les prises Jtag. Comme lesdits firmwares ne sont généralement jamais protégés en lecture par cette sorte de « port série de maintenance », ce genre de technique ouvre toutes les portes à un usager souhaitant outrepasser certaines limitations d’usage imposée par le constructeur. Du téléphone à la console de jeux, en passant par les machineries d’ascenseur ou les routeurs, tout équipement possédant l’équivalent d’un Bios dispose de ce genre de prise ou d’un point d’entrée similaire.
A propos de JTAG, les geeks campeurs pourront profiter d’une présentation dédiée à ce sujet lors de la conf HAR 2009 :
The Embedded JTAG interface HOWTO
https://har2009.org/program/events/120.en.html
Nicob