Nous avons déjà eu par le passé l’occasion de thématiser la problématique des attaques visant les terminaux de points de vente, comme celle ayant touché le distributeur nord- américain Target28. La finalité principale de ces attaques est d’obtenir des données de cartes de crédit, même si d’autres données personnelles sont parfois dérobées en parallèle. La fin de l’année 2014 a vu un nouveau cas similaire faire la une des journaux: le 14 septembre, le distributeur américain Home Depot a admis avoir été victime d’un vol des données de 56 millions de cartes de crédit et débit de clients, perpétré entre avril et septembre 2014. Cette communication confirmait et précisait les nombreuses informations publiées les semaines précédentes par des journaux ou blogs spécialisés. La méthode utilisée pour l’attaque rappelle fortement ce qui avait été observé dans le cas de Target: un maliciel de type Ram Scraper a été installé sur les points de vente, après une compromission initiale ayant touché un fournisseur de l’entreprise.
Ce mode opératoire n’est d’ailleurs pas le seul utilisé par les criminels pour compromettre des terminaux de points de vente. En juillet 2014 déjà, l’entreprise de sécurité FireEye a
attiré l’attention sur le maliciel BrutPOS. Ce dernier cherche à exploiter des interfaces d’administration à distance de terminaux, protégées par des mots de passe faibles. Pour identifier les systèmes vulnérables, BrutPOS utiliserait selon FireEye un réseau de zombies composé de plus de 5500 machines infectées. Pour ce faire, des mots de passe standards sont essayés, p. ex. «admin», «client» ou «password». Une fois le système pénétré, les criminels cherchent à obtenir des données de cartes de crédit par Ram Scraping.
Ces exemples prouvent que les terminaux de points de vente restent au cœur des préoccupations de certains gangs criminels. D’importants moyens sont investis pour accéder à de tels systèmes, dans l’espoir de réaliser de gros profits. Les données de cartes de crédit saisies sont bien souvent revendues sur des forums clandestins, et au final utilisées pour réaliser des achats à l’insu du propriétaire de la carte. Si les entreprises américaines sont surtout attaquées, c’est qu’il s’agit de cibles intéressantes. Outre qu’elles réalisent un gros volume d’affaires, leur niveau de protection laisse souvent à désirer. En effet, alors qu’il est largement répandu en Europe, le système de paiement par carte de crédit avec puce et PIN («chip and pin») n’est guère utilisé aux Etats-Unis29. Même si des attaques de prestataires utilisant ce dernier système sont aussi envisageables, les systèmes n’intégrant pas cette norme présentent pour l’instant un rapport coût-bénéfice plus favorable.
Plus spécifiquement, le cas du réseau de zombies BrutPOS rappelle la nécessité de protéger toute interface permettant d’accéder à distance à un appareil ou système. Il a été deja signalé à maintes reprises les risques que comporte la tendance à raccorder au réseau toujours plus d’appareils de pilotage des processus physiques, dans l’industrie productive comme en domotique. Car les appareils ou systèmes concernés ont beau être différents, les règles de sécurisation de l’accès à distance restent en grande partie les mêmes.
