Lorsque nous avons publié en décembre dernier nos prévisions en matière de sécurité pour 2014, nous indiquions que « les campagnes de logiciels malveillants ciblées ... visant à dérober de l’argent ou de la propriété intellectuelle » seraient l’une des trois principales menaces pour les entreprises au cours de l’année. Nous ne nous attendions certainement pas à ce que cette prédiction se réalise aussi rapidement, ni à une telle ampleur. On estime que les failles de sécurité des grandes enseignes américaines Target et Neiman Marcus ont permis de dérober les données personnelles et les données des cartes bancaires de près de 110 millions de clients.
Les enquêtes menées sur ces attaques ont révélé que les caisses enregistreuses des magasins ont été infectées par des outils de « RAM scraping », qui ont ainsi permis aux agresseurs d’intercepter des données bancaires et autres données personnelles. Même si le « RAM scraping » n’est pas une nouvelle technique (elle a été signalée pour la première fois en 2008 par le Centre des technologies de l’information de l’Université de Princeton), son utilisation dans le cadre de ces attaques récentes soulève des questions sur la sécurité des transactions par carte bancaire, et de la norme PCI-DSS qui est sensée protéger les terminaux de point de vente et les données des cartes bancaires des clients durant leur transfert.
La norme PCI-DSS renforce la sécurité des transactions jusqu’au stockage des données client sur les systèmes des marchands, mais elle n’est cependant pas invulnérable. Au cours d’une transaction, les données de la carte bancaire d’un client, y compris le nom du titulaire de la carte, le numéro de la carte, sa date d’expiration et son code de sécurité à trois chiffres, sont disponibles en texte brut pendant une très courte période de temps, parce que les systèmes de traitement des paiements ont besoin de données non chiffrées. C’est cette fenêtre d’opportunité que les outils de « RAM scraping » exploitent.
Une fenêtre étroite
Les données de la carte lues par le terminal de point de vente sont temporairement stockées en mémoire vive durant le processus d’autorisation de la carte et le traitement de la transaction, avant d’être chiffrées. De même, les données d’une transaction client traitées par un serveur de back-end sont temporairement déchiffrées en mémoire. Les données sont accessibles pendant une fraction de seconde uniquement, suffisamment longtemps cependant pour l’outil de « RAM scraping » qui s’active chaque fois qu’une transaction se produit et recherche des numéros de carte bancaire en RAM lorsque de nouvelles données y sont chargées. Les données sont ensuite silencieusement enregistrées dans un fichier texte, puis transmises aux agresseurs lorsqu’un nombre prédéterminé d’enregistrements est collecté. Les criminels n’ont ainsi pas besoin de déchiffrer les données des clients.
On ne sait pas encore précisément quelles variantes de logiciel malveillant ont été utilisées pour ces attaques, ni comment elles ont été introduites dans les systèmes. Cependant, début janvier 2014, l’organisme US-CERT a émis une alerte concernant les logiciels malveillants de « RAM scraping » ciblant les systèmes de point de vente, en nommant les types de logiciels malveillants actuellement capables de parcourir les zones mémoire utilisées par les processus spécifiques des logiciels de point de vente pour trouver les données des cartes bancaires.
Vecteurs d’infection
Comment les criminels ont-ils été en mesure d’injecter les outils de « RAM scraping » dans les systèmes de point de vente de ces grandes enseignes ? Leurs systèmes et leurs terminaux de point de vente étant connectés par réseau, l’infection initiale a probablement été introduite par des méthodes classiques : soit par un lien ou une pièce jointe malveillante dans un email qui a été ouvert par un employé sur le réseau de l’entreprise, ou par l’exploitation des faiblesses des identifiants de connexion des logiciels d’accès à distance.
Une fois parvenus dans le réseau d’entreprise, les agresseurs ont pu transférer leurs logiciels malveillants sur le réseau et les terminaux de point de vente. Les réseaux de point de vente n’étant pas isolés des autres réseaux d’entreprise, cela les rend vulnérables.
Protection des points de vente
En termes de protection contre de futures attaques de « RAM scraping » ou d’autres attaques visant les systèmes de point de vente, l’organisme US-CERT recommande six meilleures pratiques aux propriétaires et aux exploitants de ces systèmes :
L’utilisation de mots de passe sur les systèmes de point de vente, différents de ceux définis dans la configuration par défaut
La mise à jour des applications logicielles de point de vente, exactement de même que les logiciels d’entreprise doivent être mis à jour pour corriger les vulnérabilités
L’installation d’un pare-feu pour protéger les systèmes de point de vente et les isoler des autres réseaux
L’utilisation d’un logiciel antivirus maintenu à jour
La restriction de l’accès à Internet depuis les ordinateurs ou les terminaux de point de vente pour empêcher l’exposition accidentelle à des menaces
La désactivation de l’accès à distance aux systèmes de point de vente
Les entreprises doivent également envisager des contre-mesures supplémentaires pour ajouter une couche de protection contre les infections de logiciels malveillants, qui sont le point de départ le plus fréquent des attaques. Il est relativement facile pour les criminels d’ajuster leur code malveillant pour contourner les mécanismes de détection des antivirus reposant sur des signatures, ce qui laisse les entreprises vulnérables. Une technologie de sécurité telle que l’émulation ThreatCloud de Check Point permet d’identifier et d’isoler les fichiers malveillants avant qu’ils ne pénètrent dans un réseau, afin d’éviter les infections accidentelles.
En conclusion, le « RAM scraping » est une menace qui pourrait cibler non seulement le secteur de la distribution, mais également tout secteur d’activité nécessitant le traitement des cartes bancaires des clients, que ce soit l’hôtellerie, la restauration, ou encore la finance et l’assurance. Les entreprises qui utilisent régulièrement des terminaux de point de vente devraient examiner attentivement leur vulnérabilité à de telles attaques…