Escolar Documentos
Profissional Documentos
Cultura Documentos
Aot
09
Au sujet de lENISA
LAgence europenne charge de la scurit des rseaux et de linformation (ENISA) est une
agence europenne qui a t cre afin damliorer le fonctionnement du march intrieur.
LENISA est un centre dexcellence en matire de scurit des rseaux et de linformation pour les
tats membres et les institutions de lUnion. Elle prodigue conseils et recommandations et agit
comme une centrale dinformations en matire de bonnes pratiques. En outre, elle facilite les
contacts entre les institutions europennes, les tats membres, les entreprises prives et les
acteurs de lindustrie.
Coordonnes:
Pour toute information gnrale ou concernant la sensibilisation la scurit de linformation,
veuillez nous contacter ladresse lectronique suivante:
Courriel: Isabella Santa, Responsable Sensibilisation awareness@enisa.europa.eu
Internet: http://www.enisa.europa.eu/
Avertissement juridique
Nous tenons signaler que cette publication reflte le point de vue et les interprtations des
auteurs et diteurs, sauf avis contraire. Ce document ne doit pas tre considr comme une
action de lENISA ou de ses organes, sauf sil est adopt conformment au rglement (CE)
n 460/2004 instituant lENISA. Cette publication ne reflte pas ncessairement ltat actuel des
choses et est, de ce fait, susceptible de faire lobjet de mises jour.
Les sources tierces sont cites chaque fois que cela est ncessaire. LENISA ne peut tre tenue
responsable du contenu des sources externes, y compris les sites web externes cits dans cette
publication.
Cette publication a un objectif purement ducatif et informatif. Ni lENISA, ni quiconque agissant
en son nom, ne peut tre tenu responsable de lusage qui pourrait tre fait des informations
contenues dans la prsente publication.
Reproduction autorise, moyennant mention de la source.
Agence europenne charge de la scurit des rseaux et de linformation (ENISA), 2009
June
Aot 2009
Remerciements
Plusieurs personnes ont soutenu ce travail et y ont contribu directement ou indirectement de
diverses faons. Les informations comprennent des contributions de diffrents membres de la
communaut de la sensibilisation (AR Community) de lENISA.
LENISA tient remercier les membres de lAR Community et leurs organisations, ADICAE, Arjen de
Landgraaf dE-Secure-IT, Daniel Blander dInfoSecurityLab Inc., David Barroso de S21sec, Fabio
Guasconi de @ Mediaservice.net S.r.l., Fabrizio Cirilli, Gerasimos Ntouskas de KPMG Limited,
INTECO, Joao Brites Moita, Lachlan Gunn de European ATM Security Team Ltd, Neal Ysart de PwC,
Sissel Thomassen dInfoSecure, William Beer de PwC, Yves Le Roux de CA, qui ont apport
llaboration de ce document de prcieuses contributions, de la documentation et un soutien diligent.
Enfin, nous tenons remercier toutes les personnes qui ont contribu llaboration de ce document
par leurs analyses informelles, leur perspective intressante, leurs observations, suggestions et
solutions. Nous souhaitons notamment remercier les membres de la European ATM Security Team.
Bien que cette liste ne soit videmment pas exhaustive, le contenu prsent ici ne pourrait tre ni
complet ni correct sans leur contribution.
Rsum
Le nombre de guichets automatiques bancaires (GAB) augmente chaque anne en Europe. On en
trouve de plus en plus dans de nombreux endroits autres que les banques, comme les commerces
de proximit, les aroports, les stations-service, les gares ferroviaires, les grands magasins, etc.
Avec la hausse du nombre de GAB en Europe, une augmentation considrable du nombre total de
dlits sur les GAB a t observe, les pertes totales se montant 485,15 millions deuros en 2008.
Le crime organis est lorigine dun grand nombre de ces attaques, et la rcession est considre
comme un facteur probable de cette augmentation. Par consquent, lindustrie des GAB a fait de la
scurit des utilisateurs et de la protection contre la fraude une priorit majeure afin de maintenir la
confiance lgard du systme.
Le prsent livre blanc vise offrir une srie de recommandations afin de sensibiliser les utilisateurs
aux diffrents types de risques auxquels ils sexposent lorsquils recourent un GAB, ainsi que des
conseils sur la manire de les identifier et de les contrer. LENISA estime que la sensibilisation des
utilisateurs aux risques constitue le premier moyen de dfense dans la lutte contre les dlits sur les
GAB, et quelle peut entraner une rduction significative des attaques et des fraudes sur les GAB. Il
convient de former et de conseiller les citoyens sur les moyens de rduire ces risques en prenant les
prcautions ncessaires lors de lutilisation dun distributeur automatique (comme composer leur
code confidentiel labri des regards) et en tant attentifs aux moindres signes daltration ou
dactivit suspecte proximit dun GAB.
Les dlits sur les GAB sont en constante volution, au mme titre que les mesures requises pour les
contrler. Le prsent document ne peut couvrir tous les risques lis lutilisation des GAB, pas plus
quil ne peut offrir des conseils complets sur la manire de les utiliser en toute scurit. Il doit au
contraire tre vu comme un point de dpart utile et ncessaire la sensibilisation gnrale des
utilisateurs aux risques auxquels ils sexposent en utilisant les GAB, dans lUnion europenne comme
ailleurs dans le monde, la scurit des donnes et aux bonnes pratiques de lindustrie. LENISA
sengage fournir aux utilisateurs de GAB des informations instructives sur les vulnrabilits
potentielles et invite instamment les banques, les institutions financires, les systmes de paiement
et les services chargs de faire appliquer la loi fournir des informations et des conseils
supplmentaires lchelon national dans les tats membres de lUE.
Le prsent document ne porte aucunement sur les conditions lgales rgissant linstallation,
lexploitation et la maintenance des GAB, le traitement des oprations effectues sur les GAB ou la
circulation et la distribution des billets de banque.
Enfin, le prsent document ne contient aucun avis ou conseil en matire de conformit, de
disponibilit et defficacit des systmes ou dispositifs susceptibles dtre utiliss pour prvenir ou
empcher les attaques sur les GAB.
10
GAB
Dfinition
Un guichet automatique bancaire (aussi appel GAB, DAB ou distributeur automatique de billets) est
un dispositif informatis qui offre aux clients dune institution financire la possibilit deffectuer des
oprations bancaires sans avoir passer par un employ de banque ou un prpos au guichet.
La plupart des GAB actuels identifient lutilisateur par le biais de la carte
en plastic que celui-ci insre dans lappareil. La carte peut contenir une
bande magntique ou une puce indiquant un numro de carte unique et
diverses informations de scurit, telles quune date dexpiration et un
code dauthentification de la carte (CVC, de langlais card validation
code). Lutilisateur sidentifie en composant un code confidentiel (PIN).
Au moyen dun guichet automatique, les utilisateurs peuvent
leurs comptes bancaires afin deffectuer des retraits
(ventuellement avec une carte de crdit). Ils peuvent aussi
solde de leurs comptes, acheter des crdits tlphoniques
payer leurs factures, etc.
accder
despces
vrifier le
prpays,
(European ATM Security Team) a estim 383 951 et plus de 1,5 million le
en Europe et dans le monde respectivement (1). Soixante-douze pour cent du
GAB europens se situent dans cinq pays: Royaume-Uni, Espagne, Allemagne,
Le nombre total de GAB europens a grimp de 6 % par rapport lanne
Malgr laugmentation spectaculaire du nombre dincidents, les pertes relles dues la fraude nont
progress que de 11% par rapport lanne prcdente. Les pertes dues la fraude au GAB sont
restes significatives et une perte totale de quelque 500 millions deuros a t signale lan dernier
en dpit des mesures prises dans tous les pays dEurope. La figure 3 illustre de faon dtaille la
rpartition de ces pertes.
Sur cette perte, prs de 400 millions
deuros sont dus des pertes
internationales, qui sont le rsultat de
fraudes commises en dehors des
frontires nationales par des criminels
qui utilisent des donnes de cartes
voles.
Ces
pertes
ont
lieu
essentiellement hors dEurope en raison
principalement du dploiement de la
technologie EMV (3) en Europe.
(2) Un logiciel malveillant est un logiciel conu pour infiltrer ou endommager un systme informatique sans le
consentement en connaissance de cause du dtenteur.
(3) EMV est une norme dinteropration de cartes CI et de terminaux de point de vente capables et de GAB,
destine authentifier les paiements par carte de crdit et de dbit. Le sigle EMV se compose des initiales
dEuropay, MasterCard et VISA, les trois socits qui ont coopr afin de mettre au point la norme.
11
12
500 000 USD ont t vols dans une banque australienne au moyen dun dispositif de copie
install sur un distributeur automatique de Melbourne (4);
des dispositifs capables de scanner les donnes des cartes bancaires et de crdit ont t
installs sur des GAB lextrieur dun supermarch du Royaume-Uni (5);
Melbourne, dix GAB ont t utiliss pour cloner des cartes et voler plus dun million dUSD
sur diffrents comptes bancaires (6);
Staten Island, 500 000 USD ont t vols plus de 250 victimes en plaant des camras
directement sur le clavier du distributeur et en filmant les victimes pendant quelles
composaient leur code confidentiel (7);
environ 4 000 pages de donnes relatives des cartes de crdit chypriotes ont t trouves
sur un ordinateur appartenant des voleurs (8).
13
comptes bancaires, lesquels peuvent aisment dpasser la valeur des devises contenues dans un
seul GAB. Pour autant quils aient aussi obtenu le code confidentiel, les criminels peuvent utiliser une
carte vole pour retirer de largent dun compte bancaire hauteur du retrait maximal journalier
autoris, ou jusqu ce que la banque mettrice bloque la carte. Si les voleurs continuent de sen
prendre aux distributeurs automatiques et aux devises quils contiennent, ils se sont de plus en plus
concentrs sur les manires de recueillir les donnes des cartes bancaires et daccrotre leurs gains.
Il existe trois types fondamentaux dattaques sur les GAB:
les tentatives de vol visant les donnes de la carte bancaire dun utilisateur;
les attaques informatiques et rseau contre les GAB afin de recueillir les donnes des cartes
bancaires;
100 100 100 100 100 100 100 100 100 100 100 100 100 100 100
97
96
94
93
90
90
82
80
82
74
72
71
70
60
58
54
52
50
40
39
30
20
10
0
en
m
a
Fi rk
nl
an
Fr d
an
Li Ir ce
ec el
h an
Lu ten d
xe ste
m in
bo
ur
g
N
et Ma
he lt
rla a
n
N ds
or
w
Po ay
rt u
Sl ga
ov l
e
S n
Sw we ia
itz den
er
la
nd
C
ze U
ch K
Re
Au p
s
Sl tria
ov
R aki
om a
a
Be ni a
lg
i
Es um
to
n
C ia
y
G pru
er s
m
a
G ny
re
Bu ece
lg
ar
ia
Ita
Sp ly
H ain
un
ga
Po ry
la
n
La d
Li tvi
th a
ua
Ic nia
el
an
d
Graphique 4: Part (en %) des GAB europens rpondant aux normes EMV. Source; EAST & EPC.
14
Bien que ces cartes contiennent aussi une bande magntique, cette dernire seule ne suffit pas
permettre quune opration ait lieu un GAB au moyen dun lecteur de carte modifi afin de lire les
puces EMV (except si lmetteur de la carte autorise une telle opration). Les copies frauduleuses
de ces cartes EMV ne peuvent donc pas tre utilises pour retirer du liquide sur des distributeurs aux
normes EMV.
Comme les cartes aux normes EMV seront utilises dans la plus grande partie de lEurope dici la
fin 2010, il sensuit que les criminels devront utiliser les cartes falsifies en dehors de lEurope et
dans les pays o les distributeurs automatiques ne sont pas quips de lecteurs aux normes EMV.
Dici l toutefois, la menace des cartes bancaires falsifies reste relle.
Card skimming
Le card skimming (vol de donnes par copie frauduleuse de carte) consiste prlever au GAB les
donnes contenues sur la bande magntique et le code confidentiel au moyen dun lecteur de carte
modifi appel skimming device. Ce dispositif de copie frauduleuse est plac sur le distributeur de
telle sorte que sa prsence est cache mais quil peut capturer les informations contenues sur la
bande magntique de la carte et le code confidentiel de lutilisateur. Lutilisateur insre sa carte dans
le distributeur sur lequel un dispositif de copie frauduleuse a t plac, effectue une opration
normale et reprend sa carte. Il quitte le GAB sans savoir que sa carte a t force. Les
informations subtilises sont utilises afin de produire des cartes falsifies et deffectuer ensuite des
retraits de devises frauduleux. Le titulaire de la carte ne prend conscience des faits que lorsque des
oprations ou des retraits non autoriss sont effectus sur son compte bancaire. Comme les
dispositifs de copie sont trs sophistiqus et souvent difficiles dtecter, ils compromettent de
nombreuses cartes.
Les criminels utilisent plusieurs mthodes diffrentes, et le code confidentiel est obtenu soit grce
une petite camra de surveillance, soit au moyen dune fausse grille recouvrant le clavier. La
technologie sans fil Blue Tooth (9) est de plus en plus utilise pour transmettre les dtails de la carte
bancaire et le code confidentiel un ordinateur portable situ distance. Ces informations peuvent
ensuite tre envoyes facilement partout dans le monde afin de permettre la production rapide de
cartes falsifies.
Mthodes classiques de vol de donnes
Un petit dispositif de copie frauduleuse (skimming device) plac lentre du lecteur de carte (ou
un faux panneau plac sur le lecteur de carte), avec une fausse grille sur le clavier (ou une petite
camra de surveillance) pour voler le code confidentiel.
(9) La technologie Blue Tooth permet aux dispositifs lectroniques de communiquer entre eux au moyen dune
liaison radio de courte porte.
Illustration 5:
dEAST
reproduite
avec
lautorisation
15
16
Card trapping
Le card trapping (pigeage de carte) consiste capturer physiquement la carte dans le GAB, tout en
subtilisant le code confidentiel de lutilisateur au moyen de diverses mthodes. Lorsque lutilisateur
quitte le GAB sans sa carte, celle-ci est ensuite rcupre par les voleurs et utilise pour effectuer
des retraits frauduleux ou des achats (en magasin, par tlphone ou en ligne). En gnral, une seule
carte est perdue dans chaque attaque, et les criminels doivent rcuprer tout le dispositif chaque fois
(10) http://abcnews.go.com/Technology/Business/story?id=7434509&page=1
quune carte est pige. Rcemment toutefois, on a retrouv un dispositif de pigeage de carte
pouvant rester en place pendant un certain temps et permettant de rcuprer les cartes piges
sans avoir tre enlev.
La variante la plus frquente est appele collet marseillais (ou Lebanese Loop en anglais). Les
voleurs placent un dispositif muni dune boucle de ruban adhsif, de cble ou de fil rsistant sur le
lecteur de carte dun distributeur automatique. La carte peut de la sorte tre insre et lue par le
GAB, mais pas restitue. Les criminels obtiennent le code confidentiel en regardant par-dessus
lpaule de lutilisateur lorsquil saisit son code (shoulder surfing). Ils rcuprent ensuite la carte
aprs que la victime a quitt le GAB en tant convaincu que la machine a retenu sa carte pour
dautres raisons.
Diverses techniques sont utilises pour subtiliser le code confidentiel du titulaire de la carte, comme
recourir des camras vido, offrir des conseils et distraire lutilisateur pendant quil saisit son code.
Un autre type de pige carte est appel Algerian V.
Vol par distraction ou vol manuel
La pratique est semblable celle du card trapping, la diffrence quau lieu dtre capture par un
collet ou autre type de pige, la carte est retire du lecteur par les criminels eux-mmes. Aprs avoir
observ la saisie du code confidentiel, un groupe de criminels distrait lutilisateur et annule
lopration. Pendant que deux complices distraient lutilisateur (souvent en laissant tomber un billet
et en lui demandant sil lui appartient), un troisime criminel presse la touche Stop et prend la carte
de lutilisateur. Lorsque ce dernier reporte son attention sur le distributeur, il se voit informer que la
machine est dfectueuse et ne peut lui restituer sa carte.
Shoulder surfing
La mthode du shoulder surfing est utilise par les criminels pour obtenir un code confidentiel, en
gnral lorsquils pigent ou volent les cartes en distrayant lutilisateur. Se tenant derrire la
victime, le criminel lit le code confidentiel que ce dernier saisit; il le mmorise, le note ou lenregistre
aussitt dans un tlphone mobile.
Quitter une opration en cours
Dans ce cas, le voleur termine une opration inacheve aprs que la victime a quitt le guichet
automatique. En gnral, le criminel persuade la victime, pendant une opration, que le distributeur
est hors service, ou il loigne la victime du distributeur par diffrents moyens alors quelle tait sur
le point de retirer de largent.
Un incident rcent aux tats-Unis
Deux hommes ont vol 1 800 USD en liquide des utilisateurs sans mfiance moins dune demiheure aprs leur avoir subtilis leur carte bancaire au milieu dune opration. Dans lun des trois vols
connus, la police pense que les criminels ont parcouru moins de deux mtres jusqu un distributeur
proche et ont retir 900 USD en trois oprations distinctes, avant que les victimes fassent bloquer
leur carte par la banque. Ailleurs, les deux criminels ont vol 900 USD travers des oprations par
carte de crdit et des retraits de liquide dans la demi-heure qui a suivi le vol de la carte.
La police pense que le premier complice observe utilisateur du GAB saisir son code, quil lenregistre
aussitt dans un tlphone mobile. Le second dlinquant distrait ensuite la victime en laissant
tomber un billet de 20 USD ses pieds et en lui tapant sur lpaule pour lavertir. Pendant ce temps,
17
18
le premier vole la carte jecte par la machine. La carte vole est utilise dans une autre machine.
La victime ne comprend pas pourquoi le distributeur automatique na pas restitu la carte (11).
Cash trapping
Les criminels placent sur la goulotte de
sortie des billets un dispositif qui bloque
ces derniers lintrieur lorsquun
utilisateur tente deffectuer un retrait.
Lutilisateur sen va en pensant que la
machine est dfectueuse ou entre dans la
banque pour signaler lincident, et
pendant ce temps les voleurs viennent
rcuprer les billets.
Attaques informatiques et via rseau
Illustration 11: reproduite avec lautorisation dEAST
Hameonnage
La fraude et les arnaques recourant la communication par courrier existent depuis de nombreuses
annes. Avec lapparition du courrier lectronique et de linternet, ce type de fraude sest diffus
rapidement dans le monde entier sous le nom de phishing (hameonnage). La fraude par
hameonnage vise persuader lutilisateur de communiquer le numro et le code confidentiel de sa
carte bancaire. Les voleurs envoient un courrier lectronique en se faisant passer pour une banque
et en prtendant que les donnes relatives au compte sont incompltes ou que lutilisateur doit
mettre jour les donnes relatives son compte afin dviter la fermeture de celui-ci. Lutilisateur
est invit cliquer sur un lien et suivre les instructions donnes. Or, le lien est frauduleux et dirige
lutilisateur vers un site cr par les criminels et conu de manire ressembler un site de la
banque de lutilisateur. Sur le site, lutilisateur est invit saisir des donnes sensibles telles que le
numro et le code confidentiel de la carte. Les informations sont recueillies par les voleurs et
utilises pour crer des cartes falsifies, retirer des fonds du compte de la victime et effectuer des
achats.
Vols de codes confidentiels
Les voleurs recourent des techniques de programmation sophistiques (13) pour forcer laccs aux
sites internet hbergs sur le rseau dune institution financire. Grce cet accs, les voleurs
pntrent dans les systmes de la banque pour localiser la base de donnes des GAB. Ils recueillent
les numros de carte et, si ncessaire, modifient les codes confidentiels des cartes quils comptent
utiliser. Les voleurs revendent ensuite les cartes et leurs donnes dautres criminels. Ceux-ci
crent des cartes au moyen des informations subtilises et les utilisent pour retirer de largent des
comptes lis. Les premiers voleurs reoivent en gnral un pourcentage des gains.
Incident rcent
En janvier et fvrier 2008, les services secrets amricains ont rvl quils enqutaient sur deux
effractions lune lencontre dOmniAmerican Credit Union et lautre contre Global Cash Card. En
avril et mai 2008, des dlits de mme nature ont t dcouverts lencontre de Symmetrex,
processeur doprations, et la 1st Source Bank. Les cartes de Symmetrex taient utilises par
MetaBank. elles seules, ces deux enseignes ont enregistr des pertes relles de plus 4 millions de
dollars (14).
Attaques physiques contre les GAB
Les attaques physiques contre les GAB visent forcer laccs aux devises contenues dans le coffre
du distributeur ou le botier de scurit du GAB. Les mthodes les plus frquentes sont notamment
les attaques par voiture, les explosifs (gaz et autres) et la dcoupe (p.ex. scie circulaire, chalumeau,
lance thermique, foreuse couronne diamanteuse). Le vol peut galement avoir lieu au moment du
rapprovisionnement ou de lentretien du distributeur. Le personnel est braqu alors quil apporte
des devises dans un distributeur ou quil les emporte, ou lorsque le coffre du GAB est ouvert et les
tiroirs-caisse remplacs.
19
20
Les numros de carte et les codes confidentiels subtiliss peuvent tre utiliss de multiples faons
par les voleurs. Les donnes des cartes concernes peuvent tre utilises soit pour faire des retraits
du compte bancaire li, soit pour effectuer des achats dans des points de vente au dtail, sur
linternet ou par tlphone. De fausses cartes de crdit et de dbit peuvent tre fabriques et
utilises par dautres individus.
Les criminels agissent en gnral en bandes hautement organises, et parfois pour le compte de
vastes organisations criminelles. On note une augmentation rcente du nombre dassociations de
malfaiteurs venant de ltranger pour se livrer ces fraudes.
Risques et dangers
Rsumer les risques et dangers potentiels susceptibles de se poser aux citoyens la suite dun dlit
perptr avec succs sur un distributeur automatique est une tche ambitieuse. En effet, un tel dlit
peut non seulement donner aux criminels un accs non autoris au compte bancaire de la victime,
mais il peut aussi offrir aux criminels les informations et outils ncessaires pour commettre une
gamme tendue de dlits allant de la simple usurpation didentit des fraudes didentit plus
complexes telles que le piratage de compte.
Pour illustrer cela, il y a lieu de considrer lventail croissant de services gnralement offerts
travers le compte bancaire utilis via un GAB. Si, par exemple, les donnes ainsi que le code
confidentiel de votre carte de dbit sont subtiliss, le criminel peut alors tre en mesure non
seulement daccder aux fonds de votre compte, mais aussi deffectuer diverses oprations de
gestion de compte visant spcifiquement lui permettre de commettre dautres dlits.
Par consquent, le nombre de risques et de dangers est presque illimit, mme si, au niveau le plus
lev, deux grandes catgories de risques et de dangers doivent tre envisages.
La premire catgorie de risques porte sur des formes dattaques plus immdiates telles que les
piges billets, le collet marseillais qui permet au criminel de subtiliser directement la carte de la
victime ou les agressions physiques directes sur les utilisateurs du distributeur automatique ou sur le
distributeur lui-mme, par exemple les voleurs la tire ou les attaques consistant dfoncer la
structure au moyen dun vhicule.
La seconde catgorie de risques, cible sur des prjudices plus long terme, est sans doute la plus
frquente du fait du large ventail de modalits dattaque. Ce type de dlit dbouche invariablement
sur lexploitation ultrieure des informations et de lidentit de la victime, mme sil y a souvent
aussi des gains primaires tels que laccs immdiat aux fonds. Diverses formes de fraude peuvent
sensuivre, dont le vol didentit, le piratage de compte et lextorsion, et, outre une perte financire,
la victime subit souvent un prjudice sous la forme dune baisse de son degr estim de solvabilit
ou des condamnations judiciaires.
lavenir, les dlits sur les GAB devraient se faire encore plus intressants pour les criminels,
mesure que les types de services et de produits offerts travers la dernire gnration de
distributeurs continuent de se dvelopper et dvoluer. De mme quun nombre croissant de GAB
sont conus pour accepter diffrents types de dpts (p.ex. en devises ou par chque), beaucoup
sont prsent utiliss pour distribuer dautres produits qui attireront galement les criminels,
comme les timbres-poste. Dans ces conditions, il est raisonnable de penser que les types dattaques
continueront galement dvoluer et que les diffrentes formes de dlits commis sur les GAB
resteront une source de proccupation, ce qui renforce la ncessit de sensibiliser la population.
21
22
23
24
Recommandations
Description
1.
2.
Utilisez
un
GAB
3.
Nutilisez pas
autonome
GAB
4.
5.
Assurez-vous
que
les
autres personnes dans la
file dattente se tiennent
une
distance
raisonnable
6.
Protgez
votre
code
confidentiel des regards
indiscrets en vous tenant
prs de la machine et en
cachant le clavier
Choisissez un GAB
sr
Observez les
alentours
de
7.
8.
Faites
attention
au
lecteur dans lequel vous
insrez votre carte
9.
Vrifiez attentivement le
clavier
du
guichet
automatique
10.
11.
Signalez immdiatement
les cartes retenues dans
la machine
12.
Observez le GAB
25
26
13.
Vrifiez
rgulirement
vos relevs de compte
14.
Signalez immdiatement
les cartes retenues dans
la machine
15.
Signalez immdiatement
toute activit suspecte
Signalez toute
activit suspecte
Conclusions
Les GAB font partie intgrante du commerce dans toute lEurope et offrent un service prcieux aux
utilisateurs. Lutilisation croissante des GAB sest accompagne dune multiplication spectaculaire des
attaques et des fraudes aux guichets automatiques. Des techniques telles que le vol des donnes par
copie frauduleuse, le hameonnage et les attaques via rseau contre des GAB ont entran des
pertes de prs de 500 millions deuros en Europe lan dernier. Ces techniques, de plus en plus
sophistiques, ont donn lieu une hausse de 149% des attaques sur les GAB en 2008.
Ce document prsente les multiples faons dont les attaques sur les GAB sont perptres, ainsi que
des techniques et conseils simples que les utilisateurs peuvent appliquer pour dceler et prvenir ces
agressions.
LENISA pense quun moyen important de rduire les fraudes et attaques sur les GAB consiste
informer la population des risques potentiels et des faons de les combattre. Cette information peut
rduire significativement la frquence et limpact financier des attaques perptres sur les guichets
automatiques, et renforcer la confiance lgard de lutilisation des GAB.
27
28
ANNEXE
29
30
(15) Toutes ces informations ont t transmises par le service de gestion des risques de JCC Payments Systems
Ltd, lunique acqureur/processeur de Chypre pour VISA, MasterCard, AMEX et Diners.
Plusieurs individus utilisaient des cartes rechargeables falsifies aux guichets automatiques.
Cinquante-trois cartes ont t utilises, et 10 700 euros ont t retirs. Le systme de suivi des
fraudes a dcel les activits frauduleuses et en a inform les services de police chypriotes. Lun des
fraudeurs a t arrt.
Cas n 6
Deux individus utilisaient des cartes rechargeables falsifies aux guichets automatiques. Cent vingtdeux cartes ont t utilises, et 21 980 euros ont t retirs. Identifis par le systme de suivi des
fraudes, les individus ont t arrts par la police alors quils utilisaient les cartes falsifies.
Cas n 7
Un individu utilisait des cartes rechargeables falsifies aux guichets automatiques. Quarante et une
cartes ont t utilises, et 28 340 euros ont t retirs. Identifi par le systme de suivi des fraudes,
lindividu a t arrt par la police alors quil utilisait les cartes falsifies.
Cas n 8
Un individu utilisait des cartes rechargeables falsifies aux guichets automatiques. Quatre-vingt-deux
cartes ont t utilises, et 12 330 euros ont t retirs. Le systme de suivi des fraudes a dcel les
activits frauduleuses et en a inform les services de police chypriotes. Le fraudeur a t arrt.
Cas n 9
Deux individus utilisaient des cartes rechargeables falsifies aux guichets automatiques. Vingt et une
cartes ont t utilises, et 10 980 euros ont t retirs. Le systme de suivi des fraudes a dcel les
activits frauduleuses et en a inform les services de police chypriotes. Les fraudeurs ont t
arrts.
Risques et dangers
volution de la fraude aux GAB
Les activits de fraude aux GAB vont dcroissant de manire constante en 2009, principalement en
raison du dploiement de la puce EMV en Europe et des mesures efficaces et proactives de lutte
contre la fraude prises Chypre.
Un nombre accru de fraudeurs ont t identifis. La principale raison en est quils croient tort que
Chypre est un pays peu avanc sur le plan technologique (terminaux EMV limits et systmes de
contrle des cartes faibles) et quen tant qule ultrapriphrique de lEurope, Chypre est un endroit
o les fraudeurs ne risquent pas dtre pris. En fait, comme il ny a quun acqureur Chypre, il est
nettement plus facile didentifier les fraudeurs, par rapport au Royaume-Uni ou la Grce, qui
comptent cinq ou six acqureurs diffrents qui ne partagent pas les donnes et o, par consquent,
il est nettement plus difficile de les prendre.
Capacits de fraudeurs
Les fraudeurs identifis sur lle se caractrisaient par une approche intelligente des actes de fraude
et ont fait preuve dune adresse remarquable pour contourner les systmes de scurit des banques.
Ils se montrent galement pleins de ressources et semblent bien organiss. En outre, les
technologies de vol de donnes des fraudeurs supplantent les technologies des vendeurs de GAB
(p.ex. Jitter, FDI).
31
32
galement ralis des conomies en rduisant les investissements dans des lignes spciales pour les
donnes qui diminuent la scurit des systmes GAB. Il a maintes fois t soulign que ces
dispositifs sont directement lis au rseau interne (LAN) de la banque ou au rseau des agences et
sont rarement coups du segment de rseau o se trouvent dautres systmes dentreprise (du
poste de travail au systme de serveur).
En rgle gnrale, les systmes de GAB sont utiliss en tant ququipements industriels et non
comme des ordinateurs ordinaires. Il sensuit que, une fois installs, ils sont rarement mis jour et
peu entretenus. En outre, en tant que produits industriels, les corrections au systme dexploitation
(le plus souvent Microsoft Windows) doivent dabord tre testes, recevoir une licence et tre
distribues par le fabricant, ce qui constitue un obstacle supplmentaire. Ce choix expose les
systmes de GAB divers types de dangers bien connus, comme les vers et les virus, susceptibles
de compromettre linfrastructure et de la rendre indisponible (p.ex. crash massif des GAB Diebold en
2003, cause du ver Slammer). Un facteur externe ou interne de danger pour la banque pourrait
galement attaquer les systmes en tirant profit des faiblesses du systme dexploitation, du logiciel
ou de la gestion du mot de passe (souvent, connu) pour accder aux GAB et modifier le logiciel
afin de fournir davantage de liquide, si certaines conditions spcifiques sont remplies.
En outre, les protocoles de communication analyss ont rvl de nombreux problmes de scurit.
Bien que, dans un pass rcent, de nouvelles spcifications rputes plus sres ont t mises en
circulation, en gnral, elles ne sont pas entirement mises en uvre. Par exemple, souvent les
communications entre le GAB et lunit finale (macroordinateur, etc.) ne sont pas cryptes et aucun
lment ne garantit lauthenticit des donnes. Pendant certaines attaques, il a t dmontr quil
est possible dintercepter et de modifier ces notifications, permettant ainsi au criminel de retirer
davantage dargent que nen contient le compte concern, ou de modifier le montant retir.
Les diffrentes analyses effectues rvlent un autre problme srieux (qui exacerbe galement ce
qui se passait auparavant), savoir le placement de systmes de GAB: dans le cas de distributeur
automatiques situs dans des zones non protges, les connexions lectriques et les liaisons rseau
sont souvent accessibles lutilisateur final (mme si le GAB est situ lintrieur de la banque).
Une coupure de courant provoque entranerait une rinitialisation du systme, livrant ainsi plusieurs
informations lauteur de lattaque; dun autre ct, la possibilit daccder au cblage de rseau
permettrait linstallation dun systme TAP mme dintercepter le trafic rseau et de le transfrer
par un rseau sans fil.
Afin de mieux se rendre compte du nombre de problmes de scurit qui peuvent se poser, pas
seulement li la technologie, nous pouvons rflchir la manire dont les systmes de GAB sont
dploys. Ils sont distribus dans tout le pays, souvent sans passer par le sige central des banques,
et installs directement dans les agences ou en dautres lieux dintrt par des tierces parties qui se
voient remettre des cls de chiffrement.
Les procdures de gestion relatives ces systmes sont en gnral moins dtailles que celles des
systmes informatiques, mme sils utilisent de plus en plus souvent des plateformes similaires:
nous voulons parler des tests de scurit aprs dploiement, de la gestion des mots de passe, des
contrles et alertes de scurit, de la gestion des vulnrabilits et des corrections de programme, de
la protection contre les logiciels malveillants, etc.
Il convient de souligner avec insistance que nombre de ces attaques ne visent pas seulement les
cartes de dbit, mais peuvent galement tre efficaces avec les cartes de crdit utilises dans les
GAB, mme si les rpercussions spcifiques doivent encore tre values pleinement.
Trop souvent, les enjeux de scurit lis aux GAB ne sont pas reconnus. Trs rares sont les banques
qui ont ralis une valuation formelle et complte des risques pour la scurit de leurs
infrastructures GAB. Le recours la notion de scurit par lobscurit, qui a longtemps t
33
34
applique aux dispositifs spcialiss, est erron sur le plan conceptuel, et savre ltre aussi sur le
plan concret mesure que la tendance mondiale de la fraude bancaire saccentue. De plus en plus
dindividus tudient ces infrastructures afin dy dceler des failles de scurit susceptibles de leur
donner accs aux distributeurs automatiques et lobjectif final rel de ces nouvelles formes de
crime organis: les billets.
lavenir, les attaques logiques sur les GAB se multiplieront certainement: si lon nglige ces risques
en cette priode dlicate de transition, on risque dans la pratique de commencer perdre une
bataille tout fait cruciale, capitale pour la scurit nationale de tous les pays et systmes
conomiques du monde.
Portugal
Le Portugal prsente lun des taux de pntration des GAB par habitant les plus levs dEurope.
Cela sexplique en grande partie par les fonctions avances qui sont offertes la population en
gnral, comme le paiement de services publics et privs (tels que le gaz, leau, les impts ou la
tlphonie mobile) ou la possibilit dacheter des billets de concert, en plus des services financiers
plus traditionnels comme le retrait dargent ou la consultation des comptes.
Dans les paragraphes qui suivent, nous vous prsentons une vue gnrale du rseau de GAB au
Portugal, des principaux dangers et types de fraude, ainsi que des efforts en cours et de ceux qui
simposent afin damliorer la scurit de lenvironnement des GAB.
Le rseau de GAB
Le rseau de GAB au Portugal est gr par SIBS, une socit dtenue par la majorit des banques
prsentes sur le march. SIBS est la sixime plus grande chambre de compensation automatise
(CCA) dEurope. Elle traite plus de deux milliards doprations par an, pour un total denviron
6 000 000 de millions deuros, et est lorigine de la mise sur pied dun rseau intgr des GAB et
des POS (points de vente) commun toutes les banques sur le march.
Sagissant de lutilisation des cartes de dbit et de crdit, les indicateurs portugais sont suprieurs
la moyenne de lUE, pour les cartes comme pour les GAB et les terminaux POS par habitant. De
mme, le Portugal prsente le taux dutilisation de carte le plus lev dEurope, par rapport
dautres formes de paiement, avec plus de 60% des transactions.
Tous les GAB du pays sont prsent compatibles avec EMV (Europay, Mastercard et Visa), de mme
que 83% des terminaux POS. Les institutions financires sefforcent galement offrir des cartes de
crdit et de dbit aux normes EMV, qui reprsentent environ 44% des cartes dans le pays en 2008.
Sur le plan des communications, le rseau des GAB repose sur des lignes de communication
spciales (RPV) par SSL, dotes de mcanismes de scurit complmentaires tels que le codage
3DES et le code dauthentification de message (MAC). En outre, la philosophie sous-jacente au
dveloppement du rseau de GAB sappuie sur une approche de scurit en vertu de laquelle aucun
appareil ne peut entamer une communication directement avec un GAB; ce sont au contraire les
GAB qui engagent la communication avec les autres quipements (y compris les systmes SIBS).
PayWatch
la fin 2008, une nouvelle socit a t cre Paywatch , charge de contrler en permanence le
rseau des GAB, didentifier les modes dutilisation de carte et de dceler les formes de fraude aux
guichets automatiques et aux terminaux POS.
Cela permettra Paywatch didentifier en temps rel les fraudes commises avec des cartes
portugaises et/ou sur le rseau GAB / POS et de limiter rapidement les prjudices. Cela nest
possible quen raison du fait, mentionn ci-dessus, que le rseau est intgr et peut tre vu comme
un tout, plutt que comme un rseau fragment. Il ny a pas trs longtemps, le grand public voyait
dans ces activits de contrle une sorte de Big Brother, et les gens ne pouvaient comprendre
pourquoi leurs oprations personnelles taient surveilles. Toutefois, probablement en raison du fait
quun nombre croissant de cas sont rendus publics chaque anne (non seulement au Portugal, mais
dans le monde entier), les mentalits ont chang depuis quelques annes, et les gens y voient
prsent un avantage pour le systme et une protection pour eux-mmes et leur argent.
PayWatch est mme de dtecter en temps rel lutilisation dune carte clone sur le rseau de
GAB, travers lanalyse de cryptogrammes une caractristique propre aux cartes et aux GAB
portugais. En gros, si une carte est cense tre aux normes EMV, mais que seule la piste
magntique est utilise (fallback ou fonctionnement dgrad), il est plus que probable que la carte
en cause est un clone, et lopration est refuse.
PayWatch a une vue densemble de toutes les utilisations des cartes de crdit et de dbit
portugaises, dans le rseau GAB national comme ltranger. Cela permet PayWatch et SIBS de
bloquer lutilisation de certaines cartes, voire de bloquer les oprations dans une rgion donne du
monde, si une augmentation des utilisations frauduleuses est dcele par exemple, les
transactions de toute carte portugaise effectues depuis la ville de Barcelone peuvent tre bloques.
Si PayWatch dtecte en temps rel une carte clone ou toute autre utilisation frauduleuse, SIBS ou
la banque peut contacter le client immdiatement et prendre les mesures qui simposent afin de
limiter les risques.
Risques et niveaux de fraude
Les niveaux de fraude dans le pays sont, en rgle gnrale, faibles, avec un ou deux cas signals par
an. La principale menace rside dans les attaques physiques sur les GAB: elles ont augment trs
nettement en 2008, en raison de la spcialisation dans ce type dattaques dun groupe dindividus
originaires dEurope orientale.
Cependant, le nombre dattaques rates crot aussi plus rapidement, car de plus en plus de guichets
automatiques sont dsormais quips de systmes de maculage des billets et sont ancrs dans le
sol.
Sagissant des attaques sur les cartes, le vol/exploitation (skimming) des donnes reste le principal
danger. La carte est copie sur le GAB mme, ou dans le vestibule dune banque o sont installs
des GAB, et dont laccs requiert que les utilisateurs glissent leur carte dans un lecteur pour en
ouvrir les portes, cette dernire forme de fraude reprsentant de 10 20 %. Le code confidentiel est
en gnral vol au moyen dune camra place au sommet du guichet automatique, dun faux
clavier ou en observant par-dessus lpaule de lutilisateur (shoulder surfing).
Tous les GAB du pays sont prsent quips de mcanismes anti-skimming. Le plus frquent
consiste en lutilisation dun lecteur qui ralentit lentre de la carte et la rend difficile lire pour un
faux lecteur.
Dun point de vue technologique, une camra pourrait tre intgre aux GAB afin de tenter de
dceler si quelquun place un faux quipement par-dessus le guichet automatique, mais cela nest
pas possible au Portugal, pour des raisons de protection de la vie prive, comme le souligne la
Commission nationale de la protection des donnes.
Si la relation entre SIBS et les services de police est trs cooprative et repose sur la confiance
mutuelle, il nen va pas de mme avec la justice. Les auteurs de fraudes rcidivistes ne sont parfois
condamns que pour un fait prcis, et le fait quils soient rcidivistes nest pas pris en considration.
35
36
De mme, la lgislation portugaise ne condamne que les personnes prises avec des cartes de crdit
clones et non des cartes de dbit, ce qui est peru comme un problme vu le nombre de cartes de
ce type (Visa Electron) dans le pays.
Au niveau des tendances, depuis lintroduction des cartes EMV lon prvoit une augmentation de
lutilisation des cartes portugaises clones ltranger, dans des pays o le systme EMV na pas
encore t entirement dploy.
Vers un environnement plus sr
SIBS publie sur son site internet les prcautions que doivent prendre les citoyens lorsquils utilisent
un GAB ou un terminal POS, notamment, mais pas uniquement: ne pas perdre de vue la carte, ne
pas rpter une opration moins que le terminal naffiche un message les informant que la
premire tentative a chou, et ne pas communiquer le code confidentiel des tiers. Sur ce dernier
point, le guichet automatique lui-mme invite lutilisateur protger et cacher le clavier lorsquil
saisit son code confidentiel.
Lintroduction de systmes de maculage des billets a contribu prvenir les attaques physiques sur
les GAB, et les commerants se voient informer quun billet de banque tach dencre ou de teinture
est un billet vol ce jour, un seul cas a t enregistr, o un billet macul a t utilis chez un
commerant.
tant donn les mcanismes actuellement mis en uvre sur les GAB, les criminels concentrent leurs
efforts sur les portes des vestibules des banques o sont installs des distributeurs. Nimporte quelle
carte bande magntique ouvre la porte, ce qui rend le mcanisme
inutile en termes de contrle daccs au vestibule, tout en crant un
nouveau point vulnrable au vol de donnes. Louverture des portes
au moyen dun bouton offre le mme niveau de contrle
quactuellement, mais permettrait dliminer le point vulnrable
prcit. Tant que la carte est ncessaire pour accder au vestibule,
il est conseill dutiliser une carte pour ouvrir la porte et une autre
pour effectuer lopration sur le GAB.
Il est galement conseill, chaque fois que possible, dutiliser
toujours le mme distributeur, afin de dceler les anomalies
ventuelles (telles que de faux claviers ou lecteurs de carte).
Une hausse des niveaux de fraude dans le monde virtuel est
galement prvue. Afin de faire face ce problme, SIBS a mis au
point un systme MBNet permettant aux utilisateurs de lier un
compte MBNet un compte bancaire, une opration qui peut tre
ralise auprs dune banque. Ainsi, quand une personne souhaite
payer un achat en ligne, elle peut accder au site internet de MBNet
et gnrer un numro de carte Visa virtuel, qui met sa disposition
un montant limit et a une dure de vie dun mois.
37
38
Dlits sur les GAB: Vue densemble de la situation en Europe et rgles dor pour les
viter
ISBN-13: 978-92-9204-043-7
Numro de catalogue: TP-80-09-736-FR-N
DOI : 10.2824/18027
39
ISBN-13 978-92-9204-043-7
TP-80-09-736-FR-N
40