Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert ModPipe, une porte dérobée modulaire qui permet à ses opérateurs d’accéder à des informations sensibles stockées dans des terminaux de point de vente (TPV) utilisant ORACLE MICROS Restaurant Enterprise Series (RES) 3700, une suite de gestion utilisée par des centaines de milliers de bars, restaurants, hôtels et autres établissements de l’industrie de l’hôtellerie et de la restauration dans le monde entier. La plupart des cibles identifiées sont situées aux États-Unis.
La porte dérobée se distingue par ses modules téléchargeables et leurs fonctionnalités, notamment un algorithme personnalisé conçu pour rassembler les mots de passe des bases de données des TPV RES 3700, en les déchiffrant à partir des valeurs de la base de registre Windows. Cela prouve que les auteurs de la porte dérobée ont une connaissance approfondie du logiciel ciblé, et qu’ils ont opté pour cette méthode sophistiquée au lieu de collecter les données via une approche plus simple mais plus facile à détecter, comme l’enregistrement des frappes au clavier. Les identifiants extraits permettent aux opérateurs de ModPipe d’accéder au contenu des bases de données, y compris les différentes définitions et configurations, les tables d’état et les informations sur les transactions effectuées sur les TPV.
« Cependant, d’après la documentation des TPV RES 3700, les pirates ne devraient pas être en mesure d’accéder à certaines des informations les plus sensibles, telles que les numéros de cartes de crédit et les dates d’expiration, qui sont protégées par un chiffrement. Les seules données des clients stockées en clair et donc accessibles aux pirates devraient être les noms des titulaires de cartes, » met en garde Martin Smolár, le chercheur d’ESET qui a découvert ModPipe.
« Les éléments les plus intrigantes de ModPipe sont probablement ses modules téléchargeables. Nous sommes au courant de leur existence depuis fin 2019, lorsque nous les avons découvert et analysé pour la première fois, » explique M. Smolár.
Modules téléchargeables :
- GetMicInfo cible les données relatives aux TPV MICROS, notamment les mots de passe des deux noms d’utilisateur de la base de données prédéfinis par le fabricant. Ce module peut intercepter et déchiffrer ces mots de passe pour la base de données en utilisant un algorithme spécialement conçu à cet effet.
- ModScan 2.20 collecte des informations supplémentaires sur l’environnement des TPV MICROS installés sur les machines en scannant certaines adresses IP.
- ProcList a pour objectif principal de collecter des informations sur les processus en cours d’exécution sur la machine.
« L’architecture de ModPipe, ses modules et leurs fonctionnalités indiquent également que leurs auteurs possèdent une connaissance approfondie du logiciel des TPV RES 3700. Leurs compétences pourraient découler de plusieurs scénarios, par exemple le vol et la rétro-ingénierie du logiciel propriétaire, l’utilisation détournée de portions qui aurait été fuitées, ou l’achat de code sur un marché clandestin, » ajoute M. Smolár.
Pour éviter les attaques de ModPipe, il est conseillé aux entreprises de l’industrie de l’hôtellerie et de la restauration ainsi qu’à toute autre entreprise utilisatrice des TPV RES 3700 de prendre les précautions suivantes :
- Utiliser la toute dernière version du logiciel.
- L’utiliser sur des appareils équipés de versions à jour du système d’exploitation et des logiciels.
- Utiliser un logiciel de sécurité multicouche fiable capable de détecter ModPipe et des menaces similaires.
Pour plus de détails techniques sur ModPipe, lisez l’article « Hungry for data, ModPipe backdoor targets popular POS software used in hospitality sector » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.