Un retrait sécuritaire!
Technologie et sécurité
29 septembre 2010 – 14h40
Billet 4 de 6
Les guichets automatiques bancaires (ATM) ne sont pas aimés de tous dû à leur coût, mais sont souvent utilisés par nous tous lors de soirées lors desquelles nous oublions de passer à la banque. Mais avez-vous déjà pensé que ces machines pourraient être vulnérables et utilisées par des pirates informatiques?
Les ATM sont facilement exploitables. Parmi les attaques possibles, on retrouve bien entendu le vol d’argent, mais également le vol d’informations confidentielles de l’utilisateur. Bref, il est possible de contrôler entièrement ces machines, et ce, très facilement.
Lors du BlackHat et du Defcon un chercheur européen est venu présenter pour démontrer les vulnérabilités qu’il a découvertes sur ces machines.
Plusieurs dizaines de modèle de ATM existent, chacun ayant un boîtier externe différent et un ordinateur interne contrôlant les demandes du client et les sorties d’argent. Chaque boîtier comporte une serrure complexe à ouvrir et requiert une clé spéciale.
Le problème? Par le biais du site Web eBay, le chercheur a réussi à trouver des vendeurs de clé permettant d’ouvrir pas un, mais tous les modèles de boîtiers des ATM. Lorsqu’il a pu ouvrir un ATM près de chez lui, il a pu voir que tous les ATM fonctionnait avec le même type d’ordinateur et que tous avait un port pour les clés USB.
La vulnérabilité vient du fait que le port USB sur les ordinateurs permet de mettre à jour le « firmware ». En d’autre mot on peut mettre à jour le système d’exploitation fonctionnant sur la machine ATM par le biais d’une clé USB. On peut ainsi modifier les commandes de l’ATM et vider la machine de tout son argent ou encore voler les informations de comptes des clients de l’ATM et plus encore.
Je n’ai malheureusement aucune recommandation spécifique à vous faire si ce n’est que de d’effectuer vos transactions à l’aide de vos cartes de débit ou crédit à puce ou d’aller dans une vrai banque/caisse pour retirer de l’argent.
Je vous invite à m’écrire personnellement à patrick.rousseau-mathieu@nurun.com pour toute question et à laisser vos commentaires ci-bas!
Patrick
Est-ce que vous parlez de tous les guichets automatiques ou seulement les guichets qui se trouvent dans des endroits publics et qui nous demandent 5$ pour en retirer 20?
Vous semblez mettre toutes les machines dans le même panier.
Je crois qu’utiliser une machine d’une institution bancaire reconnue est beaucoup plus sécuritaire. La plupart ne sont pas accessibles par l’avant et pour celles qui le sont, les techniciens doivent l’ouvrir avec un code numérique. Je le sais car mon frère a travaillé pendant un an et demi à remplir d’argent des guichets de la Banque Nationale.
Personnellement, je n’utilise que les guichets de mon institution. Si je n’en trouve pas, je vais vers celui d’une autre institution.
Bonjour,
Vous avez tout à fait raison, les guichets identifiés au nom des institutions bancaire tel que Desjardins, RBC, etc. sont considérés « plus sécuritaire » , et ce, malgré plusieurs cas de fraude pour voler les NIPs des clients (voir: http://krebsonsecurity.com/2010/03/would-you-have-spotted-this-atm-fraud/).
Cependant, la plupart des guichets ATM mobile (tel que dans les bars et certains restaurants) qui demandent des frais de 1.50$ à 3.00$ et qui sont situés hors des institutions bancaire sont susceptible à l’attaque décrit dans mon article.
Merci
Patrick R. Mathieu