Une enquête conjointement chapeautée par Motherboard et la radio bavaroise Bayerischer Rundfunk (BR) met en exergue un phénomène de piratage sous-médiatisé, mais pourtant en progression. Le jackpotting gagne en effet du terrain au sein des groupes de hackers, aux dépens des institutions bancaires.

Si le phishing, l’attaque par force brute ou le ransomware sont devenus des termes courants du champ lexical de la cybersécurité, le jackpotting fait encore partie des rares expressions peu connues du grand public. Pourtant, cette technique de piratage visant les distributeurs de billets existe depuis 2010. Son créateur ? Le célèbre Barnaby Jack, hacker et spécialiste de la sécurité des systèmes d’information décédé le 25 juillet 2013 d’une overdose.

Le principe du jackpotting est simple : en accédant physiquement à un guichet automatique, les hackers piratent le système de la machine. Le virus installé pousse alors cette dernière à éjecter la totalité des billets stockés. De quoi enrichir considérablement les attaquants. La seule contrainte réside dans l’ouverture manuelle du distributeur de billets (ou ATM pour Automated Teller Machines) de sorte à pouvoir accéder à un port USB à partir duquel le malware est injecté.

1000 dollars pour devenir riche

Ce procédé revêt un avantage considérable : aucune carte de crédit ne doit être dérobée au préalable pour parvenir à faire sortir les billets. Le préjudice financier concerne avant tout l’institution touchée, et non un compte bancaire spécifique. Et ce phénomène croissant a récemment tapé dans l’œil de Motherboard et Bayerischer Rundfunk (BR), auteurs d’une enquête commune portant sur une série de jackpotting survenue entre février et novembre 2017, en Allemagne.

La problématique des infrastructures informatiques jugées trop vétustes revient alors au goût du jour. Car bien souvent, les guichets équipés d’un OS sous des versions de Windows obsolètes permettent aux hackers d’arriver à leurs fins sans difficulté. « Ce sont des machines à la fois très vieilles et lentes », rapporte une source du binôme médiatique, confirmant à demi-mot le caractère « vieillot » des installations.

Série de distributeurs automatiques de billets. // Crédit photo : Yunming Wang via Unsplash.

Aussi, les hackers accèdent facilement aux logiciels de piratage prévus à cet effet. Comme le note Motherboard, le virus « Cutlet Marjet » est disponible à l’achat depuis mai 2017 sur des plateformes spécifiques au prix de 1000 dollars, d’après un revendeur contacté par le média. Une capture d’écran d’un manuel d’instruction fourni en Anglais et en Russe leur a même été envoyée, grâce auquel l’utilisateur peut vérifier la quantité de billets présente dans le DAB et effectuer le processus d’installation nécessaire.

Il ressort également de cette enquête que les 1,4 million d’euros arrachés aux banques au cours des dix incidents observés en 2017 ne sont en fait que la partie immergée de l’iceberg. Si ce type d’attaque a diminué en Europe au cours du premier semestre 2019, les sources des deux médias affirment que ce n’est pas le cas dans le reste du monde, comme aux États-Unis, en Amérique latine et en Asie du Sud-Est.

« Le phénomène prend de l’ampleur »

« Les cas de jackpotting existent, mais la plupart du temps, rien n’est communiqué à leur sujet », assure une source proche du dossier, qui poursuit : « Cela se produit dans des régions du monde où personne ne doit en parler. Le phénomène prend de l’ampleur ». De son côté, David N. Tente, directeur exécutif de l’ATM Industry Association, estime que « les attaques de jackpotting sont en augmentation selon une enquête réalisée en 2019 », sans fournir de chiffres précis.

Face à cette complication pourtant surmontable, l’intéressé soumet l’une des solutions possibles : « Pour exécuter une attaque jackpotting, vous devez avoir accès aux composants internes d’un distributeur automatique. Empêcher cette première intrusion physique contribue donc à entraver la tentative », explique-t-il. Si à court terme les banques ne peuvent pas mettre à jour le logiciel de leurs distributeurs de billets, au moins peuvent-elles renforcer l’accès physique au guichet.

Partager sur les réseaux sociaux