En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 17/10/2017
    Mobility for Business

    7ème édition de Mobility for Business, le salon des solutions mobiles "pour une meilleure transformation…

    en détail En détail...
  • 28/09/2017
    Journée de la Transition Numérique 2017

    La seconde Journée de la Transition Numérique eFutura se tiendra le jeudi 28 septembre 2017 à Paris.…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site e-commerce pour la vente d'instruments et d'accessoires de musique
    < 5 000 €
    > En savoir plus
  • Développement d'une base de données pour une radio locale, associative
    A déterminer €
    > En savoir plus
  • Refonte/Migration d'un site E-commerce de vente de boissons acloolisées
    A déterminer €
    > En savoir plus
Microsoft_MS exp 17_Manageo_SPEAKERS_leaderboard s39 40

NOUVELLE FRAUDE TPE OU COMMENT FAIRE FEU DE TOUTE VULNÉRABILITÉ !

19/10/2016 | commentaires 0 commentaire |
Juniper_More Security_pavé

Par le pôle Audit de NES Conseil

Avec le développement du paiement électronique et de l’automatisation des processus d’encaissement, de nouveaux vecteurs de fraude ont été découverts ces dernières années. Dans ce contexte, dans le secteur de la grande distribution, une fraude de grande envergure a été découverte mettant en avant une nouvelle fois l’inventivité sans limites des cyber-escrocs.

UNE FRAUDE MYSTÉRIEUSE ?

Lors d’un audit réalisé sur les plateformes de paiement d’un acteur de la grande distribution, une problématique de fraude à grande échelle a été détectée à l’issue de l’inventaire annuel des stocks. L’enquête interne a montré, après visualisation des enregistrements des caméras de vidéosurveillance des salles de stock de marchandises et auditions du personnel, que le « vol » ne pouvait pas s’expliquer par ce biais. Ainsi, la thèse d’une fraude informatique a été envisagée. L’investigation a alors été portée sur les systèmes d’encaissement et l’écosystème connexe.

L’ÉCHEC DE LA RÉPONSE À INCIDENT
Tout d’abord, une investigation manuelle a été effectuée au niveau des journaux d’évènements des équipements réseau, des postes de vente, ainsi que des TPE (Terminaux de Paiement électronique) des magasins impactés par la fraude. Cette enquête a été rapidement limitée par la configuration trop faible des systèmes, un manque de détails dans les journaux d’événements et un temps de rétention trop faible de ces derniers.

À LA RECHERCHE DE SCÉNARIOS RÉALISABLES
En l’absence d’une piste concrète, le problème a dû être pris à l’envers : il a alors été mis en œuvre des scénarii réalisables dans l’environnement donné en se rendant par exemple en magasin de manière incognito afin de rentrer dans le personnage. Ce premier contact a permis de constater tout d’abord la présence de deux types de postes de vente différents : des SCO (Self Check Out) et des postes de vente classiques gérés par un opérateur de caisse. Pour permettre le paiement électronique, des TPE sont présents et connectés à un réseau IP par Ethernet. Les caisses SCO auraient-elles été utilisées par les fraudeurs ? Elles permettent une marge de manœuvre beaucoup plus importante dans la manipulation des appareils d’encaissement. Deuxième constat : des prises Ethernet sont présentes un peu partout dans le magasin. Elles permettent certainement de joindre les systèmes d’encaissement. Réunis, ces deux éléments constitueront le premier vecteur d’attaque à tester : la communication entre la caisse et le TPE. En temps normal, lorsque l’on veut régler une transaction en CB, l’opérateur de caisse insère manuellement le montant de la transaction, puis vérifie son succès grâce au ticket émis. Toutefois, afin de réduire le temps de transaction, de plus en plus de revendeurs automatisent ces deux actions en faisant communiquer directement le poste de vente avec le terminal de paiement. Mais ce processus récent est-il sécurisé ? Et si on arrivait à tromper la caisse en lui faisant croire que les paiements ont eu lieu avec succès ?

PLACE À L’ACTION
Une connexion d’un dispositif Wifi à l’une des prises Ethernet du magasin a alors été réalisée. De cette manière, il est possible d’interagir à distance sur le réseau de ce dernier. Il n’est pas impossible que les fraudeurs se soient introduits par ce biais à travers une malveillance interne. Une attaque d’interception réseau couramment utilisée est alors lancée (attaque ARP poisonning). Les communications entre le poste de vente et le TPE sont désormais captées. Une fois cette étape validée, une phase de rétro-ingénierie du protocole de communication est effectuée. L’objectif était alors de savoir si les fraudeurs auraient pu modifier la réponse du TPE. Un mécanisme de signature des messages a-t-il été implémenté ? Après une recherche « offline » dans le contenu des messages, il apparait qu’un tel mécanisme n’a pas été considéré, ce qui aurait permis à d’autres personnes de modifier les messages ! Reste encore à savoir quoi modifier. Il a alors fallu rechercher les informations permettant à la caisse de comprendre qu’une transaction s’est bien passée. Une autre analyse « offline » des différences de réponse du TPE a lieu, ce qui a permis d’isoler les comportements « succès » et « échec ».

UNE QUESTION DE TRAÇABILITÉ
Bien que le scénario ait été validé techniquement, une question restait en suspens. En effet, la caisse ayant validé le panier contrairement au serveur de paiement, une « différence de caisse » aurait dû être mise en avant à court terme, celle-ci ayant bien été remontée lors des analyses techniques. Comment est-il possible qu’aucune différence significative n’ait pu être enregistrée ? Comment les fraudeurs ont-ils procédé ? Ont-ils attaqué les serveurs ou les postes de caisse ? Ainsi, pour gagner du temps, une analyse des flux réseau des caisses est effectuée. En répétant l’exercice effectué avec le TPE, les échanges réseau sont captés. Une connexion à une base Oracle est faite lors de la finalisation d’une vente. Dans un premier temps, il a simplement été tenté de ne pas renvoyer les requêtes vers la base de données pour qu’aucune information sur la vente ne soit enregistrée.

Mais la caisse, elle, attendait des réponses particulières. Une retro-ingénierie des requêtes/réponses de la base de données est faite et, en quelques heures, il a été possible d’émuler parfaitement les réponses pour que l’opération soit transparente. Ce nouveau développement a été agrégé à l’outil qui servira à valider le scénario. Ce n’est que quelques jours plus tard qu’il a été identifié qu’aucun problème de différences de caisse n’a été enregistré, malgré une transaction frauduleuse d’un montant de 100 euros.

UNE SECONDE PHASE D’ANALYSE DES JOURNAUX D’ÉVÉNEMENTS

En ayant décrit le mode opératoire pas à pas, il est désormais possible de refaire une analyse des journaux d’événements. Ces derniers ont été extraits sur l’intégralité des caisses, des bases SGBD, et des TPE, représentant ainsi plusieurs Giga-octets de données. Les journaux sont ensuite placés sur une infrastructure dédiée et des règles telles qu’elles avaient été décrites sont créées. Des caisses « suspectes » ont alors été identifiées. Des ventes par cartes bleues étaient, en effet, validées par ces dernières, malgré le fait que les TPE enregistraient un échec de transaction. Sur les journaux des bases de données, on recherche l’absence de référence de l’identifiant unique de la vente (générée par la caisse). Après quelques heures d’implémentation et de fonctionnement, plus d’une centaine de transactions ont été remontées sur les dernières semaines. Les transactions, de plusieurs centaines d’euros chacune, portaient principalement sur des produits plutôt onéreux. Grâce à ces informations précises sur l’heure et la caisse fraudée, le visionnage des enregistrements des caméras de vidéosurveillance a été fructueux : certains fraudeurs ont été identifiés, ce qui a permis de remonter le réseau criminel à l’origine de cette fraude inédite.

NOUVELLE FRAUDE TPE OU COMMENT FAIRE FEU DE TOUTE VULNÉRABILITÉ !
Notez cet article

2 jours consacrés à l’intelligence numérique

Les 3 et 4 octobre, Microsoft experiences’ 17 accueillera plus de 14 000 visiteurs au Palais des Congrès de Paris, dont les managers des plus grandes sociétés européennes, start-ups, incubateurs...

Agenda & inscription

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Déréférencement mondial de pages : Google attaque une décision du Canada

    Google a demandé à la justice américaine de bloquer une décision de la Cour suprême…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Expert - SD-WAN : comment éviter les problèmes de déploiements en dix points clés 

    Une migration SD-WAN sans couture à l’heure du tout connecté ? Alexandre Chichkovsky, Global Network Evangelist…

    > En savoir plus...
Etudes/Enquêtes
  • Etude - La qualité des startups françaises en cybersécurité méconnue

    La France compte plus de 100 startups ou PME innovantes en matière de cybersécurité. Ce…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
Bomgar_Cybersecurity_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Surveillance de réseau : un élément indispensable de la sécurité informatique

    > Voir le livre
  • SECTEUR DE LA SANTÉ : VOTRE MISSION EST-ELLE IMPIRATABLE ?

    > Voir le livre
Comexposium_AssisesSécurité2017_skycraper