Jackpotting : le piratage des distributeurs de billets, comment ça marche ?

Le jackpotting permet de forcer un distributeur à éjecter des billets de banque. Si ce type d’attaque ne concerne pas directement les particuliers, il cause des millions d’euros de perte aux banques. Voici comment fonctionne cette attaque informatique.

Le jackpotting, qu’est-ce que c’est ?

Le jackpotting consiste à pirater un distributeur automatique de billets (DAB). Le terme “jackpotting” a été introduit en 2010 par Barnaby Jack, un hacker néo-zélandais spécialiste de la sécurité des systèmes d’information. Lors d’une conférence de sécurité informatique, Barnaby Jack a fait une démonstration de piratage sur deux distributeurs de billets. Il a montré au public qu’il était possible de vider un DAB de ses billets sans débiter les comptes clients. Sous les applaudissements du public, l’appareil s’est mis à éjecter des billets de banque alors que l’écran affichait “jackpot”, à la manière d’une machine à sous. 

État des lieux du jackpotting

Le jackpotting est apparu en 2015 en Europe et a touché la France en 2016. De graves attaques ont eu lieu en Allemagne en 2017, permettant aux pirates informatiques de voler plus d’un million d’euros. Néanmoins, selon les chiffres de l’European Association for Secure Transactions (EAST), le nombre d’attaques a diminué au cours des années suivantes. En 2019, le nombre de tentatives de jackpotting était seulement de 35, pour un montant de moins de 1 000 euros. En revanche, ce type de virus informatiques continue de s’étendre dans le monde, notamment aux États-Unis, en Asie du Sud-Est et en Amérique du Sud. 

Comment fonctionne le jackpotting ?

Un distributeur automatique de billets est une machine qui intègre entre autres un système d’exploitation. Le jackpotting consiste à prendre le contrôle de ce système pour le tromper et faire sortir de l’argent. Pour accéder au système, les pirates informatiques utilisent deux principales techniques : l’attaque de la boîte noire (black box attack) et l’attaque logique.

L’attaque de la boîte noire est une attaque physique. Elle consiste à brancher un ordinateur au DAB. Pour cela, il faut avoir une clé spéciale permettant d’ouvrir le capot du DAB et accéder à ses points d’accès (USB, par exemple). Cette clé peut être achetée sur le darknet ou fournie par un technicien de maintenance peu scrupuleux. Une autre technique consiste à faire un trou dans la façade du DAB pour l’ouvrir. Une fois que les cybercriminels sont branchés au DAB, ils exécutent un logiciel malveillant pour en prendre le contrôle et lui demandent de sortir des billets de banque. 

Le deuxième type d’attaque est logique. Autrement dit, les pirates informatiques se connectent au DAB via un réseau internet ou un site non sécurisé. En effet, les distributeurs sont reliés au système central de la banque via Internet. Une fois connectés, les hackers utilisent un malware pour piloter le distributeur.

Cutlet Maker et Ploutus.D, deux logiciels de jackpotting

En Europe, les hackers utilisent un logiciel russe nommé Cutlet Maker, qu’il est possible d’acheter sur le darknet pour 1 000 dollars. Sur le continent américain, les pirates préfèrent utiliser un programme appelé Ploutus.D. Ces deux programmes exploitent les faiblesses du système d’exploitation des distributeurs, qui est généralement une version obsolète de Windows. Un site web comme Shodan.io permet aux pirates de recenser les failles de sécurité des différents DAB pour mieux choisir leurs cibles.

De nouvelles formes d’attaques de DAB

Si le jackpotting a diminué en Europe, c’est probablement parce que les cybercriminels utilisent une nouvelle technique, appelée attaque TRF (terminal-related fraud). Cette fois, ils exploitent les erreurs de fonctionnement des distributeurs. Ils insèrent une carte bancaire, entrent leur code et demandent un retrait d’espèces. Au moment où le DAB éjecte la carte, ils laissent celle-ci dans la fente. La machine croit alors que la carte est bloquée et annule la transaction. L’argent n’est pas débité du compte. Toutefois, les billets avaient été préparés et étaient prêts à sortir. Le pirate utilise alors un outil pour forcer l’ouverture de l’obturateur et récupérer les billets.

Découvrez Kaspersky Total Security