Deux chercheurs en sécurité ont découvert deux failles dans des guichets bancaires de la firme Nautilus Hyusung America, le plus important fournisseur de guichets automatiques au Canada, notamment au Québec, et aux États-Unis. Plus de 80 000 machines de la compagnie seraient concernées.
Selon les chercheurs, un criminel pourrait se servir de ces failles pour voler des données sur le client ou même de vider le guichet automatique de tout son argent, rapporte Bloomberg dans un article récent.
Deux failles particulièrement nuisibles
Les deux vulnérabilités découvertes étaient accessibles à distance. Un attaquant n’avait ainsi pas besoin d’accéder physiquement au guichet pour le pirater.
Brenda So et Trey Keown, les deux chercheurs de Red Balloon Security Inc. à New York, ont prouvé qu’en se mettant sur le même réseau que l’ATM cible, il était possible de prendre le contrôle total de la machine et de contourner ses mesures de sécurités.
L’autre faille de sécurité concernait l’application mobile développée par Nautilus et utilisée par les propriétaires et techniciens des guichets. En exploitant cette faille-ci, il serait possible d’accéder aux informations sur les comptes d’utilisateurs, les guichets automatiques et les demandes de services. Ces informations permettraient à un criminel de découvrir quels guichets automatiques seraient les plus vulnérables et les plus payants à pirater.
L’une des vulnérabilités vise ainsi « le système de gestion à distance » d’une machine. En théorie, un criminel pourrait voler les données de toutes les cartes entrées dans le guichet automatique en balayant les données des cartes des utilisateurs de l’ATM.
La deuxième cible le logiciel qui alimente les périphériques du guichet, tels que le distributeur de billets, le lecteur de cartes ou le clavier NIP. Un attaquant pourrait facilement accéder au logiciel et injecter des commandes malveillantes pour vider le guichet de tout son argent.
Pas de panique
Toutefois, il n’existe aucune preuve qu’une de ces vulnérabilités ait déjà été exploitée. Les défauts ont été rapportés au cours de l’été à la compagnie qui aurait déjà mis au point un correctif.
« Nautilus Hyosung America a déjà publié des mises à jour de firmware de sécurité pour atténuer les menaces possibles », a déclaré la société dans un communiqué. La firme a également avisé tous ses clients commerciaux de mettre à jour leurs ATM avec ces correctifs qui ont été publiés pour la première fois le 4 septembre.
Concernant l’application mobile, même s’il n’existe aucune preuve que sa faille ait été utilisée, la compagnie « a décidé de désactiver ce service jusqu’à ce que les versions mises à jour soient publiées par mesure de précaution », a déclaré Keith Lennard, vice-président et responsable des logiciels de Nautilus Hyosung America.