Transition à haut risque sur les distributeurs de billets : les banques sauront-elles la gérer sans bugs ?<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
Economie
L'actualisation des systèmes d'exploitation des distributeurs de billets de banque représente un risque potentiel en termes de logistique.
L'actualisation des systèmes d'exploitation des distributeurs de billets de banque représente un risque potentiel en termes de logistique.
©Reuters

Mort de Windows XP

Transition à haut risque sur les distributeurs de billets : les banques sauront-elles la gérer sans bugs ?

Le 8 avril aux Etats-Unis, Microsoft coupera les mises à jour de sécurité pour Windows XP. Un problème majeur pour les banques, qui ne sont jamais passées à Windows 7 et conservent un système d'exploitation vétuste. Certains annoncent un bug de même ampleur que lors du passage à l'an 2000.

Atlantico : Le 8 avril aux Etats-Unis, Microsoft coupera les mises à jour de sécurité pour Windows XP (voir ici). Un problème majeur pour les banques, qui ne sont jamais passées à Windows 7 et conservent un système d'exploitation vétuste. L'actualisation des systèmes d'exploitation des distributeurs de billets de banque représente manifestement un risque potentiel, aux Etats-Unis, notamment en termes de logistique. Si un certain nombre des distributeurs doivent être changés, peut-on craindre un bug qui déséquilibrerait temporairement l'économie du pays ? Pourquoi ?

Michel Nesterenko : L'actualisation des distributeurs de billets pour des raisons d'obsolescence du logiciel, comprendre confidentialité minimum, vas se passer en même temps que le changement de toutes les cartes de crédit américaines. Les cartes de crédit outre-atlantique sont vulnérables, car elles n'ont pas la protection par puce électronique disponible depuis 1980. Quasiment la totalité des informations permettant l'utilisation de la totalité des cartes de crédit américaines sont aujourd'hui aux mains des mafias réparties sur toute la planète. Les Banques ont préféré payer ce qui revient à une taxe mafieuse plutôt que d'investir dans la sécurité et la protection des données personnelles des clients.

Maintenant il s'agit d'investir plus d'un milliard dans l'année qui vient. Pour les grandes banques ce n'est qu'une broutille, pour exemple HSBC ne sourcille pas à payer plus de $ 10 milliards d'amende pour avoir blanchi l'argent des criminels de diverses origines. Les Banques ont fait le calcul qu'il était plus profitable pour elles de payer, taxes mafieuses et amendes, de temps en temps plutôt que de protéger leurs clients. Les politiques quant à eux se sont désintéressés de cette question soi-disant technique.

La mise en place d'un nouveau logiciel a toujours été une opération hasardeuse, même dans les meilleures conditions et en prenant son temps. Aujourd'hui on nous dit que cela vas être fait dans l'urgence. Vu le cafouillage monstre, toujours en cours, du lancement national du logiciel d'assurance médical Obamacare, on peut s'attendre au pire. Pendant plusieurs mois, il faut s'attendre à ce que la majorité des distributeurs de billets soient en panne pour une période plus ou moins longue. Pour les Banques, pas de problème, car le client peut toujours se faire servir au guichet ... après avoir fait la queue. Au niveau macro-économique cela ne devrait pas créer de déséquilibre majeur, d'où le désintérêt des autorités. Seule la consommation des services pourrait éventuellement marquer le pas. Pour le citoyen il y a là un problème majeur de perte de temps surtout, problème qui n'a pas interpellé la classe politique, pour l'instant.

Jean-Paul Pinte : Tout est risqué aujourd’hui et il faut considérer que les personnes mal intentionnées ou hackers ont toujours une ruse d’avance… Pour les distributeurs de billets, pas mal de techniques ont déjà été utilisées en dehors de l’arnaque à la personne : le client se fait dérober sa carte par un escroc tandis qu'une autre personne attire son attention sur la signature d’une pétition [1] ou lui signale que l’appareil est en panne, l’invitant par là même à réessayer sa carte… On connaît la suite : le compte vidé, la personne trop naïve choquée par cette technique dite d’ingénierie sociale.

Sans aller jusqu’à l’enlèvement du distributeur par un tractopelle [2], et c’est déjà arrivé, il convient néanmoins pour les banques de se préparer et d’imaginer les parades aux techniques qui ne manqueront pas de voir le jour autour de ces distributeurs automatiques.

C’est plus vers un changement de système d’exploitation que pourraient s’orienter ces attaques car près de 95% des guichets automatiques de Banque comme la plupart des systèmes embarqués fonctionnent aujourd’hui sous Windows XP et son arrêt est officiellement prévu le 8 avril 2014 [3].

Qu'en est-il en France ? Nos banques sont-elles préparées à faire face à cette situation, et quand devrait arriver l'échéance ?

Michel Nesterenko : La France ayant choisi les cartes à puce, n'a pas le problème des cartes de crédit non sécurisées, bien que la question du vol des données personnelles se pose avec une virulence qui s'accroît.  En ce qui concerne la mise à jour des distributeurs de billets le problème est le même qu'aux États Unis, avec l'information du citoyen en moins car il est plus facile, pour les banques françaises de prétendre avoir déjà minimisé les risques, vrai ou faux. Les logiciels de Microsoft et leurs vulnérabilités sont les mêmes, même si la politique de sécurisation française avec l'utilisation de la carte à puce est bien meilleure. C'est justement cette sécurisation supérieure qu'il vas falloir adapter et tester avec le nouveau logiciel des distributeurs de billets. Des bugs, il y en aura forcément cela a toujours été le cas. Tout cela vas prendre de nombreux mois. Les banques vont-elles faire payer l'utilisateur français ? En tout cas elles vont certainement essayer, c'est la logique.

In fine, que risque le français lambda ? A quoi doit-on s'attendre ? De lourds soucis logistiques ? Ou au contraire le risque réside-t-il dans la désuétude du système d'exploitation (Windows XP) utilisé ?

Michel Nesterenko : In fine c'est l'utilisateur et le consommateur qui paye la facture, en coût et en temps perdu. C'est le consommateur qui devra courir de distributeur à distributeur pour en trouver un qui marche. Il y a belle lurette que le rare personnel de la banque en France ne distribue plus de billets au guichet. C'est une question de sécurité contre le banditisme nous dit-on. Ce sont surtout les petits achats et pourboires qui vont être touchés. Le processus est inéluctable car il n'est pas concevable de rester avec un système obsolète. La marche du progrès ordonne la course en avant. Le nouveau système sera-t-il mieux et plus sécurisé ? On peut en douter. La majorité politique et le gouvernement, seuls à pouvoir réagir efficacement, sont plus préoccupés de trouver des économies que de se pencher sur le quotidien du consommateur, alors que cette question ne suscite pas de manifestation de rues.

Jean-Paul Pinte : Pour les banques qui ne changeront pas leurs distributeurs automatiques au delà de cette limite tout pourra encore fonctionner mais le matériel deviendra de plus en plus vulnérable face aux risques de sécurité et aux virus. Par ailleurs, dans la mesure où les fabricants de matériel et de logiciels continuent d'optimiser leurs produits pour des versions plus récentes de Windows, de plus en plus d'applications et d'appareils ne fonctionneront plus avec Windows XP. Les banques doivent en tenir compte et intégrer une part de risque lors du changement de version par exemple en redéfinissant clairement toutes les fonctionnalités des systèmes implantés.

Pour les nouvelles implantations de GAB il convient donc surtout de ne pas commettre les mêmes erreurs que précédemment à savoir de ne pas doter ces machines de composants inutiles comme les ports-USB accessibles par des hackers afin de s’approprier des données voire de déposer des virus sur ces machines.

L’âge certain des machines interroge les banques à propos du changement ou d’une modification de la version de matériel car il n’est pas sûr , en effet, que les matériels en place puissent supporter des versions comme Windows 7, auquel cas tout partirait au rebus…

Ce serait alors l’utilisateur lambda qui se verrait confronter à de nouvelles arnaques pratiquées sur ces GAB et dispositifs installés par des cyber-arnaqueurs. Il est en effet plus simple d’intervenir pour le hacker sur le système lui même que de l’attaquer à distance.Le phénomène du 'skimming' qui consiste à manipuler les automates et terminaux de paiement (bancomats, distributeurs de billets et terminaux de paiement dans les commerces, les stations-service, la restauration, etc.) va continuer à se développer. Introduit dans les automates ou à distance aussi un skimmer copiera les données contenues sur la piste magnétique de la carte bancaire, de débit ou de crédit et enregistrera le code NIP.

Sont à surveiller également les systèmes vidéo installés sur les GAB qui filment les transactions et permettent d’en repasser d’autres souvent à l’étranger. On pourrait assister aussi à la venue de faux techniciens de maintenance qui, comme pour les photocopieurs repartiraient non pas avec un disque dur mais cette fois-ci avec avec de l’argent.  L’exemple de piratage d’un GAB avec une clé USB risque de n’être que le début d’un ensemble de malwares dont personne ne peut imaginer l’étendue.

Commentaires

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !