in

Faut-il abandonner totalement les transactions non EMV ? Une analyse du malware TinyPOS

Par Robert Neumann, Senior Security Researcher de Forcepoint

L’an passé, Forcepoint X-Labs a collecté des échantillons de malware qui s’attaquent aux terminaux point de vente (TPV ou, en anglais, POS : Point of Sale) et se démarquent par leur caractère artisanal, étant écrits en code assembleur très compact (2 à 7 Ko).

Cet article examine les caractéristiques du malware TinyPOS, étudie pourquoi les commerçants sont toujours confrontés à ce type de malware et comment il est possible d’en protéger les entreprises, ainsi que les consommateurs et leurs données personnelles.

Un compte rendu complet de notre analyse est disponible en téléchargement au bas de l’article.

Qu’est-ce qui fait des terminaux TPV une cible si tentante ?

Pour dire les choses simplement, un malware POS est toujours efficace pour la collecte de grandes quantités d’informations personnelles. Par exemple, en mars 2019, la chaîne américaine de restaurants Earl Enterprises a diffusé une alerte publique concernant un piratage de données dans plusieurs de ses établissements, notamment les enseignes Planet Hollywood et Buca di Beppo. Ceux-ci ont découvert qu’un malware POS siphonnait des informations personnelles dans leurs systèmes depuis une dizaine de mois.

Le 9 avril 2019, Microsoft a mis fin au support de Windows Embedded POSReady2009 (un système d’exploitation de TPV dérivé de Windows XP). Pour les systèmes continuant d’utiliser des logiciels et du matériel anciens, il est alors devenu de plus en plus difficile de se protéger contre des attaquants opportunistes et déterminés.

C’est ici qu’il nous faut prendre en compte le facteur humain. Dans de nombreuses régions du monde, des consommateurs préfèrent encore valider leurs achats par carte de crédit d’une simple signature ou en passant leur carte dans un lecteur magnétique. Souvent, ils n’ont même pas d’autre choix car la technologie EMV très répandue ailleurs, faisant appel à une carte à puce associée à un code personnel pour authentifier les transactions de manière plus sécurisée, n’est toujours pas disponible dans leur pays. Tant que perdure l’ancienne méthode d’authentification par signature et lecture magnétique, les commerçants peuvent ne pas être enclins à adopter les normes plus sûres exigées par EMV. Selon les chiffres d’EMVCo, les Etats-Unis demeurent en retard sur les autres pays dans la mesure où seules 53 % des transactions par carte y sont authentifiées par EMV, contre jusqu’à 97 % en Europe.

C’est pourquoi nous pensons que les malware POS piratant les données des pistes 1 et 2 des cartes de crédit ont encore de beaux jours devant eux, du moins aussi longtemps que l’adoption d’EMV ne se sera pas généralisée.

TinyPOS, un malware POS destiné à collecter des données lors de la lecture magnétique des cartes bancaires

Au cours de notre étude, nous avons recueilli 2000 échantillons distincts au sein de l’écosystème Tiny, que nous avons regroupés en quatre catégories : les « loaders », les « mappers », les « scrapers » et les « cleaners ».

  • Loader – Il s’agit d’un exécutable masqué présentant une fonction très simple de téléchargement. Il a principalement pour but d’établir une communication avec une liste de serveurs de commande et de contrôle inscrite « en dur » dans le code. Cette communication aboutit au chargement en mémoire de morceaux de code plus longs, suivi de leur concaténation et de leur exécution. Ensuite est générée une liste de processus système pour confirmer la présence d’un système TPV. Des téléchargements supplémentaires peuvent se produire. Rappelons que les loaders sont extrêmement compacts (de 2 à 7 Ko).
  • Mapper – Ce composant collecte des informations sur la machine et l’environnement où il s’exécute. Nous pensons qu’à travers cette activité de reconnaissance du réseau, les mappers ont aidé les opérateurs du malware à se documenter largement sur les différentes configurations de systèmes TPV et à déployer des campagnes ne ciblant que certains commerçants.
  • Scraper – Ce composant fonctionne à l’instar de tout autre scraper de mémoire POS, en ayant pour objectif de collecter les données des pistes 1 et 2 des cartes de crédit.
  • Cleaner – Ce composant a pour rôle de « nettoyer » les processus exécutés, les clés de registre, les tâches et les fichiers une fois l’opération terminée.

Le vecteur initial le plus probable consisterait en une intrusion à distance dans le système TPV en vue d’y implanter les loaders. D’autres hypothèses portent sur un accès physique (peu probable) ou une mise à jour automatique « sauvage » dans le but d’injecter un fichier infecté dans le système d’exploitation du terminal.

Niveau de protection et indicateurs d’infection (IoC)

Forcepoint assure la protection de ses clients contre TinyPOS pendant les phases suivantes de l’attaque :

  • Phase 5 (charge utile) : protection contre les composants déployés par le malware POS.
  • Phase 6 (C&C) : protection contre les échanges de communications avec les serveurs C&C codés en dur.

Nous vous invitons à lire notre rapport pour obtenir plus de détails sur les mécanismes de protection et une liste très complète des indicateurs IOC.

Compte rendu complet de notre analyse

La phase initiale de cette étude a été présentée pour la première fois à l’occasion de la conférence Hacktivity en octobre 2018. Un enregistrement est disponible ici
Rendez-vous ici pour lire notre rapport d’enquête complet

Conclusion

Tant que des transactions par carte bancaire seront encore authentifiées par simple signature et lecture magnétique, des malwares POS tels que TinyPOS continueront d’être efficaces. Nous recommandons vivement aux commerçants et aux banques de migrer vers la technologie EMV (c’est-à-dire une carte à puce validée de préférence par un code personnel ou, à défaut, une signature).

Il est conseillé de procéder à un audit sur tout système stockant et transmettant des données personnelles, en ce qui concerne leur mode de gestion et de conservation. L’objectif doit être de rendre plus difficile l’extraction des données d’une carte de crédit à partir du système du commerçant, y compris pendant leur transmission.

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.