Faut-il abandonner totalement les transactions non EMV ? Une analyse du malware TinyPOS

0
115

Depuis quelques années la carte bancaire est le moyen de paiement favoris des français devant les chèques et les espèces. Cela s’explique en partie par la facilité d’utilisation de cet outil mais aussi par le rôle de pionnier qu’occupe la France dans le domaine des cartes à puce. Aujourd’hui la quasi-totalité des cartes bancaires utilisées en France répondent au standard EMV, un standard de sécurité international qui est encore en cours d’adoption à l’échelle du monde.

Tribune Forcepoint – A l’étranger et plus particulièrement aux Etats Unis un grand nombre de consommateurs utilisent encore des cartes à bande magnétique (47% aux Etats-Unis, 32% en Asie) alors même que ce moyen présente de forts risques de sécurité et que les cas de piratages se multiplient. Les français sont globalement protégés contre ces risques lorsqu’ils sont sur le territoire national, ils peuvent cependant être amené à avoir recours à ce type de paiement à l’étranger. Alors, qu’advient-il lorsqu’ils sont en déplacement avec l’option de paiement par piste activée ?

Forcepoint, éditeur de cybersécurité international a récemment réalisé une enquête approfondie sur le malware TinyPOS, un logiciel malveillant qui s’attaque aux terminaux de paiement des commerçants afin de dérober des informations bancaires des clients et les revendre sur le Dark Web. Quelques recommandations de sécurité en découlent, notamment pour les banques et commerces qui peuvent prendre des mesures afin de protéger les consommateurs et les entreprises.

L’an passé, Forcepoint X-Labs a collecté des échantillons de malware qui s’attaquent aux terminaux point de vente (TPV ou, en anglais, POS : Point of Sale) et se démarquent par leur caractère artisanal, étant écrits en code assembleur très compact (2 à 7 Ko).

Cet article examine les caractéristiques du malware TinyPOS, étudie pourquoi les commerçants sont toujours confrontés à ce type de malware et comment il est possible d’en protéger les entreprises, ainsi que les consommateurs et leurs données personnelles.

Un compte rendu complet de notre analyse est disponible en téléchargement au bas de l’article.

Qu’est-ce qui fait des terminaux TPV une cible si tentante ?

Pour dire les choses simplement, un malware POS est toujours efficace pour la collecte de grandes quantités d’informations personnelles. Par exemple, en mars 2019, la chaîne américaine de restaurants Earl Enterprises a diffusé une alerte publique concernant un piratage de données dans plusieurs de ses établissements, notamment les enseignes Planet Hollywood et Buca di Beppo. Ceux-ci ont découvert qu’un malware POS siphonnait des informations personnelles dans leurs systèmes depuis une dizaine de mois.

Le 9 avril 2019, Microsoft a mis fin au support de Windows Embedded POSReady2009 (un système d’exploitation de TPV dérivé de Windows XP). Pour les systèmes continuant d’utiliser des logiciels et du matériel anciens, il est alors devenu de plus en plus difficile de se protéger contre des attaquants opportunistes et déterminés.

C’est ici qu’il nous faut prendre en compte le facteur humain. Dans de nombreuses régions du monde, des consommateurs préfèrent encore valider leurs achats par carte de crédit d’une simple signature ou en passant leur carte dans un lecteur magnétique. Souvent, ils n’ont même pas d’autre choix car la technologie EMV très répandue ailleurs, faisant appel à une carte à puce associée à un code personnel pour authentifier les transactions de manière plus sécurisée, n’est toujours pas disponible dans leur pays. Tant que perdure l’ancienne méthode d’authentification par signature et lecture magnétique, les commerçants peuvent ne pas être enclins à adopter les normes plus sûres exigées par EMV. Selon les chiffres d’EMVCo, les Etats-Unis demeurent en retard sur les autres pays dans la mesure où seules 53 % des transactions par carte y sont authentifiées par EMV, contre jusqu’à 97 % en Europe.

C’est pourquoi nous pensons que les malware POS piratant les données des pistes 1 et 2 des cartes de crédit ont encore de beaux jours devant eux, du moins aussi longtemps que l’adoption d’EMV ne se sera pas généralisée.

TinyPOS, un malware POS destiné à collecter des données lors de la lecture magnétique des cartes bancaires

Au cours de notre étude, nous avons recueilli 2000 échantillons distincts au sein de l’écosystème Tiny, que nous avons regroupés en quatre catégories : les « loaders », les « mappers », les « scrapers » et les « cleaners ».

  • Loader – Il s’agit d’un exécutable masqué présentant une fonction très simple de téléchargement. Il a principalement pour but d’établir une communication avec une liste de serveurs de commande et de contrôle inscrite « en dur » dans le code. Cette communication aboutit au chargement en mémoire de morceaux de code plus longs, suivi de leur concaténation et de leur exécution. Ensuite est générée une liste de processus système pour confirmer la présence d’un système TPV. Des téléchargements supplémentaires peuvent se produire. Rappelons que les loaders sont extrêmement compacts (de 2 à 7 Ko).
  • Mapper – Ce composant collecte des informations sur la machine et l’environnement où il s’exécute. Nous pensons qu’à travers cette activité de reconnaissance du réseau, les mappers ont aidé les opérateurs du malware à se documenter largement sur les différentes configurations de systèmes TPV et à déployer des campagnes ne ciblant que certains commerçants.
  • Scraper – Ce composant fonctionne à l’instar de tout autre scraper de mémoire POS, en ayant pour objectif de collecter les données des pistes 1 et 2 des cartes de crédit.
  • Cleaner – Ce composant a pour rôle de « nettoyer » les processus exécutés, les clés de registre, les tâches et les fichiers une fois l’opération terminée.

Le vecteur initial le plus probable consisterait en une intrusion à distance dans le système TPV en vue d’y implanter les loaders. D’autres hypothèses portent sur un accès physique (peu probable) ou une mise à jour automatique « sauvage » dans le but d’injecter un fichier infecté dans le système d’exploitation du terminal.

Niveau de protection et indicateurs d’infection (IoC)

Forcepoint assure la protection de ses clients contre TinyPOS pendant les phases suivantes de l’attaque :

  • Phase 5 (charge utile) : protection contre les composants déployés par le malware POS.
  • Phase 6 (C&C) : protection contre les échanges de communications avec les serveurs C&C codés en dur.

Nous vous invitons à lire notre rapport pour obtenir plus de détails sur les mécanismes de protection et une liste très complète des indicateurs IOC.

Compte rendu complet de l’analyse

La phase initiale de cette étude a été présentée pour la première fois à l’occasion de la conférence Hacktivity en octobre 2018. Un enregistrement est disponible sur YouTube :

Rendez-vous ici pour lire le rapport d’enquête complet.

Conclusion

Tant que des transactions par carte bancaire seront encore authentifiées par simple signature et lecture magnétique, des malwares POS tels que TinyPOS continueront d’être efficaces. Nous recommandons vivement aux commerçants et aux banques de migrer vers la technologie EMV (c’est-à-dire une carte à puce validée de préférence par un code personnel ou, à défaut, une signature).

Il est conseillé de procéder à un audit sur tout système stockant et transmettant des données personnelles, en ce qui concerne leur mode de gestion et de conservation. L’objectif doit être de rendre plus difficile l’extraction des données d’une carte de crédit à partir du système du commerçant, y compris pendant leur transmission.