Spécial sécurité : casse à la carte de crédit, un butin de 9 M$ en 30 minutes

Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères reviennent sur une escroquerie à la carte de crédit, par laquelle des malfrats ont réussi à retirer environ 9 millions de dollars dans près de 140 distributeurs de billets. Avant de nous conter l'histoire du virus qui se diffuse... par prospectus papier.

cnis logo

Sommaire

- 1 - Casse à la carte de crédit : 9 millions de dollars en 30 minutes 

- 2 - Le virus qui se propage par prospectus

- 3 - Firefox, quelques bugs colmatés 

- 4 - Tout sauf mon accès ADSL 

1) Casse à la carte de crédit : 9 millions de dollars en 30 minutes 

Un article de Kevin Poulsen, dans Wired, révèle ce qui semble être le plus gros casse à la carte de crédit jamais commis à ce jour. La veille de Noël dernier, en moins de 30 minutes, une centaine de mules a siphonné 9 millions de dollars de cash dans de multiples distributeurs, à l’aide de fausses cartes. Des cartes portant l’enregistrement de vrais comptes avec de véritables identifiants. Le vol n’a pu être possible que parce que le « cerveau » de l’affaire a eu accès au centre de traitement d’un opérateur bancaire, la RBS WorldPay. Cet opérateur émet notamment des cartes de débit alimentées directement – soit par virement de salaire, soit par dépôt direct. Généralement, des garde-fous techniques limitent le montant maximum qu’un porteur peut prélever à chaque opération. Mais cette limite a manifestement pu être levé, laissant aux mules la possibilité de tirer du liquide jusqu’à plus soif (et probablement épuisement des distributeurs de billets, puisque le montant moyen par mule frise les 90 000 dollars).

Fox News précise que le coup révèle une organisation quasi militaire. La série de vols s’est déroulée dans 49 villes différentes, visant 138 distributeurs situés majoritairement sur le territoire américain – Atlanta, Chicago, New York -, mais également dans d’autres pays. Le vol a été détecté notamment à Montréal, Moscou ou Hong Kong, prouvant que même la répartition des risques et la prévision d’une fuite éventuelle avait été prévu. Un coup digne de Philippe IV, dit le Bel, qui arrêta les Templiers dans le monde entier, le même jour. En 1307, le réseau téléphonique commuté et Internet n’étaient pas aussi fiables et rapides que maintenant.

Si la somme dérobée marque les esprits par son importance, on ne doit pas oublier que d’autres biens ont été subtilisés durant cette opération audacieuse. Et notamment des numéros de sécurité sociale et autres données personnelles contenues sur la piste magnétique de la carte et sur les fichiers associés à chaque compte.

Comment le liquide prélevé par les mules a-t-il été récupéré ? Comment a-t-il pu traverser les frontières US ? Par quel moyen l’équipe du cerveau est-elle parvenue à hacker le réseau RBS WorldPay ? Comment, si l’on en croit les rapports, les données de 1,5 million de comptes ont-elles pu demeurer accessibles ? Pourquoi les fichiers en question n’étaient-ils pas chiffrés et morcelés ? Y a-t-il eu complicité interne ? Comment se fait-il que, sur 130 DAB, seulement 3 personnes ont pu être photographiées et fassent l’objet d’un avis de recherche ? Le FBI semble ne posséder aucune réponse, aucune piste. La révélation de cette affaire par les médias semble bien tardive, d’autant plus qu’un procès en class action a été déclenché par un certain Keith Irwin le 9 janvier de cette année. Les victimes ont donc probablement été averties dans les jours qui ont suivi l’opération.

Cette affaire confirme, si cela était encore nécessaire, l’aisance avec laquelle il est possible de recruter des intermédiaires. La crainte d’une peine d’emprisonnement, quasi certaine grâce aux systèmes vidéo qui équipent la grande majorité des « ATM » américains, n’est rien en comparaison des conditions de vie des populations qui vivent dans des situations précaires.

2) Le virus qui se propage par prospectus 

Tout commence par un papillon glissé sous l’essuie-glace : « Stationnement interdit. Votre véhicule est en infraction. Pour obtenir des renseignements et photographies des places de stationnement qui vous conviendront le mieux, visitez le site….. ». Lorsque Lenny Zeltser, du Sans, découvre ce bout de papier, il flaire un piège et se rue sur le site en question. Un site qui affiche un certain nombre de photographies de véhicules mal garés, et offre de télécharger une « toolbar » capable de fouiller dans les archives photographiques d’on ne sait quel commissariat pour retrouver la trace du voiturin appartenant à l’internaute hameçonné.

Faut-il préciser que la barre d’outils en question n’est pas franchement inoffensive ? Une fois installée, la barre joue le rôle de « dropper », et recherche, sur un serveur d’alimentation en malwares, sa pitance d’agents infectieux pour ensuite les installer à demeure.

C’est probablement la première fois, dans la bondissante histoire de l’industrie virale, qu’un virus se propage par médium papier. Cette nouvelle forme de phishing devrait, si elle s’avère efficace, connaître de nouveaux développements. Par voie d’affiche, par exemple – qui donc vérifie l’immunité d’une URL affichée dans le métro ou par appel téléphonique – «  Madame, Monsieur, vous avez été tiré au sort et venez de remporter un lot d’une valeur de 250 euros. Pour en connaître la teneur, rendez-vous sur www. MonSiteQuiTue.gasp ». A quand, à ce rythme-là, l’infection radiophonique entre deux résultats de hit-parade ?

Exagération ? Que nenni. Bonne ingénierie sociale tout au plus. D’ailleurs, les auteurs de malwares ou les escrocs du net mettent bien souvent à profit des inattentions que les spécialistes eux-mêmes commettent sans s’en rendre compte. Comment, par exemple, ne pas mettre en relation ces deux informations troublantes : d’un côté, le 15ème épisode de la saga «  A Diverse Portfolio of Fake Security Software» de Dancho Danchev, qui, une fois de plus, dénonce des pseudo-antivirus qui ont « presque l’air vrai », et ce billet sur le blog de F-Secure, relatant un grand meeting réunissant les « ISP et opérateurs partenaires ». Que F-Secure revende son antivirus via des fournisseurs d’accès est une bonne chose, tant sur le plan du business que de la sécurité. Ce qui est troublant, en revanche, c’est le petit diaporama qui illustre cet article, une succession de captures d’écran qui montre les diverses éditions de la suite antivirale de l’éditeur Finlandais, mais avec de « légères » différences. Pour un spécialiste, cela ne fait aucun doute : c’est bien là une version « OEM » du programme. Mais un néophyte est-il capable de différencier une véritable Suite F-Secure relookée par un FAI moldo-valaque d’un faux authentique made in Tchernobyl se faisant passer pour l’original ? Bien souvent, l’imitation est plus crédible que l’original revampé. S’est-on posé ce genre de question, à Helsinki ?

3) Firefox, quelques bugs colmatés 

Encore une nouvelle version, immatriculée 3.0.6. Cette édition de Firefox corrige 6 failles d’une importance relativement faible. Le bulletin d’alerte générale précise qu’un seul de ces défauts peut être considéré comme critique : c’est l’avis 2009-01, un crash du programme qui semble provoqué par une corruption de la mémoire. Or, qui dit corruption mémoire pense logiquement « possibilité d’y injecter du code » et, par conséquent, risque, même ténu, d’exploitation à distance. Un peu moins critique, mais à prendre au sérieux, une faille pouvant favoriser une attaque en Cross site scripting. La nouvelle version à télécharger est disponible sur le site de la fondation.

4) Tout sauf mon accès ADSL 

L’Ofcom, autorité des télécoms britannique, publie son rapport annuel sur l’évolution des télécoms en Grande-Bretagne. Une étude qui, bien que focalisée sur les infrastructures de Sa Gracieuse Majesté, utilise en permanence des références et métriques européennes, voir mondiales. C’est donc là une mine de renseignements, qui couvre en détail, notamment, l’évolution des accès Internet sur l’Ile et dans l’ensemble de la Communauté Européenne. Ce pavé de statistiques compte 300 pages de chiffres, diagrammes et interprétations. Un certain courage est nécessaire pour en parcourir les grandes lignes.

Un courage vite récompensé. L’on apprend par exemple que le citoyen britannique tient à son accès haut débit plus qu’à sa chaîne HiFi, son club de gymnastique, son téléphone mobile ou son hygiène corporelle. Si un budget devait être sacrifié en raison de la crise actuelle, ce serait en dernier lieu après les dépenses de produits de toilette, les factures téléphoniques, les achats de disque ou de mobilier, et même les sorties au restaurant ou au pub.

Outre ces constatations sociologiques inquiétantes mais révélatrices, une grande partie de cette étude explique comment, et dans quelle proportion, la télévision pénètre de plus en plus dans la vie britannique. Nettement moins regardants sur le contenu que leurs voisins français ou allemands, les sujets du Royaume-Uni sont de ceux qui passent le plus de temps devant le petit écran. Petit écran soit de haute qualité, avec, après les Etats Unis et le Canada, la plus forte progression en matière de TVHD, soit de niveau proche de l’irregardable, avec le développement progressif des services de télévision sur terminaux mobiles.

Pour approfondir sur Menaces, Ransomwares, DDoS

Close