Atlantico, c'est qui? c'est quoi ?
Mardi 26 Juillet 2016 | Créer un compte | Connexion
Extra

Transition à haut risque sur les distributeurs de billets : les banques sauront-elles la gérer sans bugs ?

Le 8 avril aux Etats-Unis, Microsoft coupera les mises à jour de sécurité pour Windows XP. Un problème majeur pour les banques, qui ne sont jamais passées à Windows 7 et conservent un système d'exploitation vétuste. Certains annoncent un bug de même ampleur que lors du passage à l'an 2000.

Mort de Windows XP

Publié le
Transition à haut risque sur les distributeurs de billets : les banques sauront-elles la gérer sans bugs ?

L'actualisation des systèmes d'exploitation des distributeurs de billets de banque représente un risque potentiel en termes de logistique. Crédit Reuters

Atlantico : Le 8 avril aux Etats-Unis, Microsoft coupera les mises à jour de sécurité pour Windows XP (voir ici). Un problème majeur pour les banques, qui ne sont jamais passées à Windows 7 et conservent un système d'exploitation vétuste.

L'actualisation des systèmes d'exploitation des distributeurs de billets de banque représente manifestement un risque potentiel, aux Etats-Unis, notamment en termes de logistique. Si un certain nombre des distributeurs doivent être changés, peut-on craindre un bug qui déséquilibrerait temporairement l'économie du pays ? Pourquoi ?

Michel Nesterenko : L'actualisation des distributeurs de billets pour des raisons d'obsolescence du logiciel, comprendre confidentialité minimum, vas se passer en même temps que le changement de toutes les cartes de crédit américaines. Les cartes de crédit outre-atlantique sont vulnérables, car elles n'ont pas la protection par puce électronique disponible depuis 1980. Quasiment la totalité des informations permettant l'utilisation de la totalité des cartes de crédit américaines sont aujourd'hui aux mains des mafias réparties sur toute la planète. Les Banques ont préféré payer ce qui revient à une taxe mafieuse plutôt que d'investir dans la sécurité et la protection des données personnelles des clients.

Maintenant il s'agit d'investir plus d'un milliard dans l'année qui vient. Pour les grandes banques ce n'est qu'une broutille, pour exemple HSBC ne sourcille pas à payer plus de $ 10 milliards d'amende pour avoir blanchi l'argent des criminels de diverses origines. Les Banques ont fait le calcul qu'il était plus profitable pour elles de payer, taxes mafieuses et amendes, de temps en temps plutôt que de protéger leurs clients. Les politiques quant à eux se sont désintéressés de cette question soi-disant technique.

La mise en place d'un nouveau logiciel a toujours été une opération hasardeuse, même dans les meilleures conditions et en prenant son temps. Aujourd'hui on nous dit que cela vas être fait dans l'urgence. Vu le cafouillage monstre, toujours en cours, du lancement national du logiciel d'assurance médical Obamacare, on peut s'attendre au pire. Pendant plusieurs mois, il faut s'attendre à ce que la majorité des distributeurs de billets soient en panne pour une période plus ou moins longue. Pour les Banques, pas de problème, car le client peut toujours se faire servir au guichet ... après avoir fait la queue. Au niveau macro-économique cela ne devrait pas créer de déséquilibre majeur, d'où le désintérêt des autorités. Seule la consommation des services pourrait éventuellement marquer le pas. Pour le citoyen il y a là un problème majeur de perte de temps surtout, problème qui n'a pas interpellé la classe politique, pour l'instant.

Jean-Paul Pinte : Tout est risqué aujourd’hui et il faut considérer que les personnes mal intentionnées ou hackers ont toujours une ruse d’avance… Pour les distributeurs de billets, pas mal de techniques ont déjà été utilisées en dehors de l’arnaque à la personne : le client se fait dérober sa carte par un escroc tandis qu'une autre personne attire son attention sur la signature d’une pétition [1] ou lui signale que l’appareil est en panne, l’invitant par là même à réessayer sa carte… On connaît la suite : le compte vidé, la personne trop naïve choquée par cette technique dite d’ingénierie sociale.

Sans aller jusqu’à l’enlèvement du distributeur par un tractopelle [2], et c’est déjà arrivé, il convient néanmoins pour les banques de se préparer et d’imaginer les parades aux techniques qui ne manqueront pas de voir le jour autour de ces distributeurs automatiques.

C’est plus vers un changement de système d’exploitation que pourraient s’orienter ces attaques car près de 95% des guichets automatiques de Banque comme la plupart des systèmes embarqués fonctionnent aujourd’hui sous Windows XP et son arrêt est officiellement prévu le 8 avril 2014 [3].

Qu'en est-il en France ? Nos banques sont-elles préparées à faire face à cette situation, et quand devrait arriver l'échéance ?

Michel Nesterenko : La France ayant choisi les cartes à puce, n'a pas le problème des cartes de crédit non sécurisées, bien que la question du vol des données personnelles se pose avec une virulence qui s'accroît.  En ce qui concerne la mise à jour des distributeurs de billets le problème est le même qu'aux États Unis, avec l'information du citoyen en moins car il est plus facile, pour les banques françaises de prétendre avoir déjà minimisé les risques, vrai ou faux. Les logiciels de Microsoft et leurs vulnérabilités sont les mêmes, même si la politique de sécurisation française avec l'utilisation de la carte à puce est bien meilleure. C'est justement cette sécurisation supérieure qu'il vas falloir adapter et tester avec le nouveau logiciel des distributeurs de billets. Des bugs, il y en aura forcément cela a toujours été le cas. Tout cela vas prendre de nombreux mois. Les banques vont-elles faire payer l'utilisateur français ? En tout cas elles vont certainement essayer, c'est la logique.

In fine, que risque le français lambda ? A quoi doit-on s'attendre ? De lourds soucis logistiques ? Ou au contraire le risque réside-t-il dans la désuétude du système d'exploitation (Windows XP) utilisé ?

Michel Nesterenko : In fine c'est l'utilisateur et le consommateur qui paye la facture, en coût et en temps perdu. C'est le consommateur qui devra courir de distributeur à distributeur pour en trouver un qui marche. Il y a belle lurette que le rare personnel de la banque en France ne distribue plus de billets au guichet. C'est une question de sécurité contre le banditisme nous dit-on. Ce sont surtout les petits achats et pourboires qui vont être touchés. Le processus est inéluctable car il n'est pas concevable de rester avec un système obsolète. La marche du progrès ordonne la course en avant. Le nouveau système sera-t-il mieux et plus sécurisé ? On peut en douter. La majorité politique et le gouvernement, seuls à pouvoir réagir efficacement, sont plus préoccupés de trouver des économies que de se pencher sur le quotidien du consommateur, alors que cette question ne suscite pas de manifestation de rues.

Jean-Paul Pinte : Pour les banques qui ne changeront pas leurs distributeurs automatiques au delà de cette limite tout pourra encore fonctionner mais le matériel deviendra de plus en plus vulnérable face aux risques de sécurité et aux virus. Par ailleurs, dans la mesure où les fabricants de matériel et de logiciels continuent d'optimiser leurs produits pour des versions plus récentes de Windows, de plus en plus d'applications et d'appareils ne fonctionneront plus avec Windows XP. Les banques doivent en tenir compte et intégrer une part de risque lors du changement de version par exemple en redéfinissant clairement toutes les fonctionnalités des systèmes implantés.

Pour les nouvelles implantations de GAB il convient donc surtout de ne pas commettre les mêmes erreurs que précédemment à savoir de ne pas doter ces machines de composants inutiles comme les ports-USB accessibles par des hackers afin de s’approprier des données voire de déposer des virus sur ces machines.

L’âge certain des machines interroge les banques à propos du changement ou d’une modification de la version de matériel car il n’est pas sûr , en effet, que les matériels en place puissent supporter des versions comme Windows 7, auquel cas tout partirait au rebus…

Ce serait alors l’utilisateur lambda qui se verrait confronter à de nouvelles arnaques pratiquées sur ces GAB et dispositifs installés par des cyber-arnaqueurs. Il est en effet plus simple d’intervenir pour le hacker sur le système lui même que de l’attaquer à distance. Le phénomène du 'skimming' qui consiste à manipuler les automates et terminaux de paiement (bancomats, distributeurs de billets et terminaux de paiement dans les commerces, les stations-service, la restauration, etc.) va continuer à se développer. Introduit dans les automates ou à distance aussi un skimmer copiera les données contenues sur la piste magnétique de la carte bancaire, de débit ou de crédit et enregistrera le code NIP.

Sont à surveiller également les systèmes vidéo installés sur les GAB qui filment les transactions et permettent d’en repasser d’autres souvent à l’étranger. On pourrait assister aussi à la venue de faux techniciens de maintenance qui, comme pour les photocopieurs repartiraient non pas avec un disque dur mais cette fois-ci avec avec de l’argent.  L’exemple de piratage d’un GAB avec une clé USB risque de n’être que le début d’un ensemble de malwares dont personne ne peut imaginer l’étendue.

 

 
Commentaires

Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.

  • Par Vinas Veritas - 10/02/2014 - 10:01 - Signaler un abus Payer, ne pas payer

    That is the question. This is my answer. Certainement que la conservation d'un logiciel d'application sous XP correspond au coût minimum quitte à supporter quelques fuites ici ou là. Développer une version sur un système nouveau destiné à durer moins longtemps que la sécurisation préalable avant mise en service est aussi une gabegie. Dépense intenable ? Oui ou Non. Windows 7 déjà dépassé et Windows 8 insuffisant; Attendre Windows 8 ou bien les caractéristiques d'un Windows 10 qui présentera de nombreuses failles comme toute version paire. La meilleure stratégie consiste à préparer le logiciel d'application pour la version 11 mais il faut parier sur les lignes de codes qui seront écrites dans 5 ans ou plus.

  • Par pemmore - 10/02/2014 - 10:36 - Signaler un abus Bonnes occasion de passer sous linux,

    ça permettra de garder les vieilles machines, car demande bien moins de puissance, plante rarement, et perturbant pour le hackeur qui devrait aligner des lignes de code à la main, donc préfèrera s'attaquer à d'autres banques. Windows est un système professionnel par défaut du fait d'absence de concurrence à l'époque, maintenant linux gràce à Androïd est devenu un système majeur. Même s'il ne s'agit pas du tout de la même programmation.

  • Par Rolstone54 - 10/02/2014 - 12:52 - Signaler un abus le bug de l'an 2000... le gag oui

    Les entreprises ont dépensé beaucoup d'argent pour un bug qui n'était pas certain mais qui pouvait, dont on craignait etc... Dans un monde binaire comme celui de l'informatique cette incertitude est étonnante. Mince on vient d'apprendre aujourd'hui que XP n'est plus maintenu dans 1 mois, non cela fait plusieurs années. A qui profite le crime, Watson ?

  • Par Ravidelacreche - 10/02/2014 - 17:18 - Signaler un abus les distributeurs de billets

    Ah queuuuuuu les banques.

  • Par Vinas Veritas - 10/02/2014 - 17:41 - Signaler un abus bug de l'an 2000

    Quand on parle du bug, on devrait parler d'une faille non de programme mais d'une faille utilisateur. Pour des raisons historique de cherté de l'espace mémoire disponible aux tout premiers balbutiements de l'informatique, on avait choisit de coder les dates sur 8 chiffres et non 10 car le 19 paraissait inutile puisque constant dans la datation du 20e siècle. Raisonnement justifié qui a perduré plus longtemps que besoin car relégué aux oubliettes jusqu'à l'approche fatidique. Pendant des années, le 31 12 99 a servi de date de tests pour les programmeur qui lancent les vérifications en réel. à la suite des innombrables essais cumulés, nul ne pouvait affirmer qu'il ne subsistait rien de bribes laissées dans les mémoires qui auraient lancé des routines incongrues aux résultats surprenants. C'est cette raison qui, associée à un hasard prévu du calendrier, a conduit à fermer tous les systèmes informatiques peu avant minuit ce week-end car les samedi et dimanche donnaient du temps pour effectuer une relance épurée des systèmes avant la réouverture publique.

  • Par ignace - 10/02/2014 - 20:28 - Signaler un abus Nos manques en profiteront pour expliquer que

    leurs dizaines de milliards de malversation sont dues a XP une autre mauvaise utilisation d'EXCEL...a se tordre de rire Ils remettent en cause un autre article, rédigé lui en 2010, par Carmen Reinhart et Kenneth Rogoff. Ces deux anciens économistes du Fonds monétaire international (FMI) affirment que des pays dont l’endettement dépasse, sur le long terme, 90% du PIB ont une croissance moins importante que les États aux finances plus saines.Énième querelle d’économistes ? Non car l’article litigieux a souvent été cité comme référence pour justifier l’austérité. Les trois économistes qui viennent le critiquer relèvent plusieurs erreurs aussi grossières qu’une faute dans une feuille de calcul Excel.

  • Par ignace - 10/02/2014 - 21:35 - Signaler un abus Nos banques en profiteront pour expliquer que

    leurs dizaines de milliards de malversation sont dues a XP une autre mauvaise utilisation d'EXCEL...a se tordre de rire Ils remettent en cause un autre article, rédigé lui en 2010, par Carmen Reinhart et Kenneth Rogoff. Ces deux anciens économistes du Fonds monétaire international (FMI) affirment que des pays dont l’endettement dépasse, sur le long terme, 90% du PIB ont une croissance moins importante que les États aux finances plus saines.Énième querelle d’économistes ? Non car l’article litigieux a souvent été cité comme référence pour justifier l’austérité. Les trois économistes qui viennent le critiquer relèvent plusieurs erreurs aussi grossières qu’une faute dans une feuille de calcul Excel.

Pour commenter :

Depuis son lancement Atlantico avait fait le choix de laisser ouvert à tous la possibilité de commenter ses articles avec un système de modération a posteriori. Sous couvert d'anonymat, une minorité d'internautes a trop souvent détourné l’esprit constructif et respectueux de cet espace d’échanges. Suite aux nombreuses remarques de nos lecteurs, nous avons décidé de réserver les commentaires à notre communauté d’abonnés.

Michel Nesterenko et Jean-Paul Pinte

Michel Nesterenko est directeur de recherche au Centre Français de Recherche sur le Renseignement (CF2R), spécialiste du cyberterrorisme et de la sécurité aérienne. Après une carrière passée dans plusieurs grandes entreprises du transport aérien, il devient consultant et expert dans le domaine des infrastructures et de la sécurité.

Jean-Paul Pinte est docteur en information scientifique et technique, maître de conférences à l'Université Catholique de Lille, il est expert en cybercriminalité. 

Voir la bio en entier

Je m'abonne
à partir de 4,90€