II.1.4. Fiabilité et sécurité
Tout ce qui est fiable suscite la confiance du client surtout en
matière d'argent.
A. Fiabilité
D'une manière générale, les G.A.B sont
assez fiables raison pour laquelle ça existe toujours et fait l'objet de
plusieurs types de sollicitations partout dans le monde ; mais cela n'exclus
pas de bègues du système et souvent ces bègues sont en
défaveur des clients. Dans certains cas ces bègues peuvent aussi
être en faveur du client. Par exemple, un guichet automatique qui donne
de l'argent sans débiter le compte du client ou encore un G.A.B qui
donne des billets de plus forte valeur que ce qui est affiché.
Les causes de ces bègues peuvent être
mécaniques (clavier brisé, lecteur de carte défectueux...)
comme informatique mais ce dernier arrive un peu plus souvent (système
d'exploitation en faute des pilotes, réseaux en panne de façon
intermittente...).
La sécurité du G.A.B demeure donc un
problème à la suite de l'avancée technologique et de la
cybercriminalité.
B. La sécurité du
G.A.B
Comme les institutions financières sont de moins en
moins braquées, les criminels se sont tournés cers les G.A.B, en
faisant appel, dans la plupart de cas aux nouvelles technologies pour y
parvenir.
Ross Anderson, un spécialiste de la cryptographie,
avait eu à analyser certains systèmes des G.A.B et il avait
conclu que la plupart des institutions bancaires ne fournissent presque rien
comme effort pour sécuriser les G.A.B.
Avec la hausse du nombre des distributeurs automatiques, un
nombre considérable de délit sur les G.A.B a été
observé. Un rapport récent de l'ENISA montre que les fraudes
liées au G.A.B ont grimpé de 149% durant ces trois
dernières années et ils ont relevé plus de 10302 cas de
vol des données en Europe.
Selon le même rapport, le cas d'agression physique sur
les G.A.B a augmenté de plus de 32%. Selon les services secrets
américains, les pertes dues à la fraude sur les G.A.B dans le
monde sont estimés à environ 1 milliards de dollars à 350
000 dollars par jour.
T.F.E 2015 | Benito Lubuma L2 Génie info
24
D'une manière pratique on peut repartir les attaques
dont les G.A.B font objets en deux groupes : les attaques traditionnelles et
les attaques modernes.
1. Les attaques traditionnelles :
Le mot traditionnel semble être le mieux adapté
pour ces types d'attaque car elles se font de plus en plus rares. Les attaques
dites traditionnelles sont celles qui reposaient sur la percussion d'un G.A.B
en s'emparent du coffre-fort.
Pour y remédier les institutions financières ont
eu à développer certaines méthodes et techniques qui ont
découragé les gens qui prenaient plaisir à attaquer les
G.A.B de la sorte. Parmi ces méthodes et techniques nous pouvons citer
:
· La technique de marquage des billets qui les rendent
inutilisables une fois que le G.A.B a été percuté.
· Les G.A.B équipés de gaz incapacitant ;
· Les G.A.B ne possédant pas un coffre-fort :
dans ce cas de figure le G.A.B ne contient pas de billets, lorsqu'un client
termine la transaction, il imprime le coupon qu'il devra remettre au magasin et
c'est à ce dernier de lui remettre de l'argent.
D'autres types de fraudes sont dus à des erreurs des
institutions financières, mais ces derniers sont très rares la
fraude étant basées sur l'insertion par erreur des faux billets
de banque dans le G.A.B par des institutions financières ce qui incite
les clients à profiter de la situation.
2. Les attaques modernes :
Ces attaques sont dites modernes suite aux moyens
utilisés par les personnes mal intentionnées pour réussir
leur mission. Les hackers usent des moyens technologiques très
avancés pour contourner le système de sécurité mis
en place par les institutions financières. Il existe plusieurs types
d'attaques dites modernes dont nous pouvons citer :
· Le skimming ;
· Technique du collet marseillais ;
· Piratage par impression en 3D ;
· Usurpation des données de la carte
· Retraits fantômes.
2.1. Le skimming :
Le skimming est certes une activité de détente
sur les plages, mais c'est aussi une pratique frauduleuse basée sur le
piratage et le clonage de cartes bancaires.
Le skimming est une activité frauduleuse qui consiste
à pirater des cartes bancaires, notamment depuis les distributeurs de
billets. Elles sont dupliquées et utilisées à
l'étranger, au détriment de leurs propriétaires, et de
leurs comptes bancaires.
T.F.E 2015 | Benito Lubuma L2 Génie info
25
Le skimming s'exerce surtout à partir des distributeurs
de billets trafiqués pour l'occasion, mais également depuis des
stations essence automatique, des commerçants, ou même sur
internet.
2.1.1. Fonctionnement du skimming :
Pour pirater et cloner une carte bancaire, un skimmers a
besoin de deux types d'information : les données stockées sur la
carte (coordonnées bancaires) et le code personnel à quatre
chiffres (PIN). Ces informations peuvent être
récupérées via les distributeurs automatiques de billets,
en les modifiant légèrement :
? Avec le remplacement du lecteur de la carte par un
dispositif pirate : la fente censée accueillir votre carte n'est plus
celle de distributeur, mais celle conçu par un pirate. Elle est
reliée à un téléphone, qui reçoit en temps
réel les coordonnées bancaires des cartes scannées.
? Avec un dispositif de surveillance pour obtenir le code
à quatre chiffres : il s'agit généralement d'une
caméra pirate, cachée dans le plafonnier du distributeur.
Certains skimmers utilisent également des faux claviers
numériques posés par-dessus le clavier original, qui transmettent
à distance les codes saisis par les utilisateurs. Cette technique, bien
plus efficace, est aussi assez couteuse et donc moins courante.
Etant donné le coup d'un dispositif de skimming, il
n'est pas rare que les skimmers restent à proximité du
distributeur qu'ils ont piraté, pour mieux surveiller leur
matériel.
Une fois les données de la carte obtenues, les skimmers
les copient sur des cartes vierges (appelées white cards). Ces clones de
cartes bancaires sont ensuite envoyés et vendues dans des pays
étrangers où les paiements par carte ne sollicitent que la bande
magnétique et non la puce électronique plus
sécurisée.
Les propriétaires des cartes clonées remarquent
alors des paiements inhabituels sur leurs relevés de compte,
effectués depuis des pays étrangers où ils ne se sont
jamais rendus. Dans ce cas, ils doivent entamer une procédure de
remboursement auprès de leur établissement bancaire mais cette
procédure ne tourne toujours pas en faveur du client.
D'après EAST (équipe européenne de
sécurité des DAB), l'Europe a connu une hausse de 13% des fraudes
sur les distributeurs automatiques de billets entre 2011 et 2012 pour un
montant de fraude estimé à 256 millions d'euros.
T.F.E 2015 | Benito Lubuma L2 Génie info
26
3. Technique de collet marseillais :
Cette attaque est connue sous le nom de collet marseillais ou
vol à la marseillaise pour rappeler à une technique de vol
très connue au marseillais et qui ressemble un peu à la technique
de pickpocket.
Du point de vue attaque du G.A.B cette technique à
voler les cartes bancaires dans les distributeurs de billets de banque à
l'aide d'un collet introduit dans la fente de la machine ou plus
précisément, dans le conduit ou passe la carte. Le client
désirant retirer de l'argent, introduit sa carte, mais celle-ci va
rester bloquer dans la machine et sera récupérée par le
voleur par la suite.
3.1. Fonctionnement du collet marseillais :
Apres avoir récupéré la carte, le
présumé voleur sera dans l'obligation d'avoir le code à
quatre chiffres mais pour ce faire, ces voleurs ne sont jamais bien loin de
leurs victimes.
Soit il sera juste derrière la victime au début
de la transaction et mémorisera son code au moment où il le
compose ou alors se présentera à lui une fois que ce dernier se
rendra compte que sa carte bancaire est coincée dans la machine,
Il lui expliquera alors qu'il lui est arrivé aussi la
même chose et qu'en recomposant son code, sa carte est ressortie. Les
naïfs recomposeront alors leur code en présence du voleur qui se
fera un plaisir de retenir les quatre chiffres porte bonheur et la victime ne
récupèrera pas pour autant sa carte bancaire.
De toute façon, même sans le code, la carte peut
être utilisée pour des achats par correspondance (minitel,
téléphone, internet).
4. Piratage par impression 3D
Apres la santé, l'automobile, la mode et
l'architecture, l'impression en 3D touche un nouveau domaine d'application : la
cybercriminalité. Apparemment les voleurs de cartes bancaires ont appris
à maitriser l'impression en 3D pour créer de faux guichets
automatique afin de voler les informations bancaires.
A Sydney en Australie, un groupe roumain de cybercriminels
présumé a utilisé la technologie d'impression 3D et des
fichiers de CAO pour dessiner et fabriquer de guichets automatiques bancaires.
Apres avoir constaté une augmentation du nombre de faux guichets
automatiques, la police a créé un groupe de travail pour
résoudre le problème.
Au total, 15 distributeurs automatiques de billets ont
été trouvés et environs 100000 dollars ont
été volés.
T.F.E 2015 | Benito Lubuma L2 Génie info
27
Fonctionnement du piratage par impression 3D
:
Les équipements utilisés ne sont pas
légaux et on passe souvent par les bricolages pour y parvenir. Cela ne
semble pas être un inconvénient majeur pour les hackers car tout
est le marché et à bon prix.
Ce dispositif s'installe directement par-dessus le lecteur e
carte en s'adaptant parfaitement à la fente. La technologie de
l'impression intervient, au moment de la composition de cette façade
factice. En effet, elle comprend un lecteur de piste magnétique
intégré permettant de lire les données magnétiques
d'une carte bancaire insérée.
Afin de pouvoir également disposer d'un code PIN
associé à la carte bancaire, le dispositif est
équipé d'une micro camera espion qui film l'appui de votre doigts
sur le clavier.
Le système se déclenche automatiquement chaque
fois qu'une carte est insérée et filme tout à travers un
petit trou très discret. Les données magnétiques et
vidéo sont ensuite sauvegardées dans un
périphérique de stockage composé d'une mémoire
flash et d'un slot micro-SD. Un connecteur discret permet aux cybercriminels de
récupérer les données.
Une fois que l'appareil a enregistré la carte et code
PIN, une carte vierge peut être gravée avec ses informations afin
de retirer de l'argent et faire des achats.
Il est à signaler que ce système est souvent
utilisé et mieux adapté pour les cartes magnétiques
plutôt que les cartes à puce ce qui démontre son usage
massif aux USA et en Australie.
5. Usurpation des données de la carte
:
En se référant à la définition du
mot usurpation, nous pouvons dire que cette technique se base sur le fait de
prendre délibérément l'identité d'une autre
personne vivante, généralement dans le but de réaliser des
actions frauduleuses commerciales comme, par exemple, régulariser sa
situation au regard de l'émigration, accéder aux finances de la
personne usurpée...
| 
