Pourquoi les DAB sont particulièrement fragiles face à la fraude

Les banques sont en alerte maximale face aux risques de fraude. Ces derniers, toutefois, ne concernent pas que les canaux et les paiements numériques. Les distributeurs automatiques sont également la cibles des cybercriminels. Ils sont même particulièrement fragiles. Explication.

Alerte à la fraude sur les comptes bancaires ! Si comme 99% des Français, vous êtes clients d’une banque, celle-ci vous a certainement contacté au cours des dernières semaines pour vous mettre en garde contre les risques de fraude et appeler à la vigilance. L’explosion du « distanciel » avec la situation sanitaire, mais aussi la mise en place de nouvelles règles de sécurité sur les opérations en ligne entraînent en effet une multiplication des opportunités de fraude pour les cybercriminels.

Lire sur le sujet : Compte bancaire : votre sécurité menacée dans les semaines à venir

Ces cybercriminels s’attaquent en priorité aux canaux bancaires numériques : l’espace bancaire en ligne, l’application mobile, les paiements sur internet… Pas seulement. Dans une tribune, Elida Policastro rappelle que les distributeurs automatiques de billets sont également visés. Ils s’avèrent même particulièrement fragiles, alerte l’experte en cybersécurité bancaire chez Auriga, société italienne spécialisée dans les logiciels bancaires.

Matériel et logiciel obsolètes

Comment expliquer cette fragilité ? Principalement par la vétusté du matériel et des logiciels » qui les équipent, explique Elida Policastro. « L’écosystème des DAB (…) fonctionne souvent sur des systèmes d’exploitation obsolètes et non adaptés. Les DAB sont constitués de matériel et de logiciels hétérogènes, souvent difficiles à mettre à jour, tant du point de vue des systèmes que des coûts. De plus, [ils] doivent rester accessibles aux clients 24/7 : le temps d’indisponibilité doit être limité, créant ainsi un impact sur les tests et mises à jour, [qu’on] a tendance à repousser (…). En outre, les systèmes et le matériel sont légitimement accessibles à un trop grand nombre de personnes au sein du personnel, ce qui augmente le risque de cyberattaques. »

2021, l’année du jackpotting ?

Pour illustrer son propos, l’experte en cybersécurité bancaire décrit deux types d’attaques. La première, baptisée « Man-in-the Middle », consiste pour le cybercriminel à détourner une opération sur un DAB, en essayant par exemple d’obtenir une autorisation pour une transaction non-valide. La deuxième, l’attaque par boîte noire (ou jackpotting), « devrait davantage se répandre en 2021 », prévient Elida Policastro. Il s’agit, pour les cybercriminels, « d’accéder aux DAB de deux façons. La première est physique : ils s’attaquent à la partie supérieure du DAB, via la connexion d’un appareil non autorisé qui va envoyer des commandes de distribution d’argent, et ainsi dévaliser les distributeurs. La seconde est logique via l’introduction d’un logiciel malveillant. »

Face à ces menaces « (…) Les technologies génériques de protection des terminaux, telles que les solutions anti-malware, ne suffisent pas, car elles sont conçues pour protéger de simples ordinateurs », annonce l’experte. Les banques doivent donc déployer des « dispositifs qui permettront de surveiller et contrôler en temps réel les distributeurs, [de] prévenir les tentatives d’attaques de logiciels malveillants ou autres activités frauduleuses et d’empêcher l’usurpation des informations clients ».

A consulter : Comment obtenir une carte bancaire gratuite ?