Plusieurs distributeurs de billets ont été infectés cet été par le ver Nashi, une variante de Blaster. Les appareils étaient basés sur Windows et leur fabriquant n'avait pas appliqué le correctif DCOM publié un mois plus tôt.

au sommaire


    C'est une première : cet été le ver Nashi a infecté plusieurs distributeurs de billets de banque. Les appareils appartenaient à deux établissements financiers dont l'identité n'a pas été révélée, et ils étaient fabriqués par Diebold, l'un des grands noms du domaine.

    Les machines, des distributeurs de billets tout à fait classiques, étaient les modèles les plus récents produits par Diebold, et ils fonctionnaient sous Windows XPWindows XP Embedded. Le fabriquant n'avait pas appliqué le correctif pour la faille DCOM, exploitée par Blaster et toutes ses variantes.
    L'histoire ne dit pas comment Nashi s'est introduit sur le réseau privé qui connecte tous les distributeurs. Seule certitude : ce n'est qu'une fois plusieurs d'entre eux infectés que la présence du ver a pu être détectée. C'est le fort volumevolume de trafic que génère le parasiteparasite lorsqu'il se lance à la recherche de nouvelles victimes qui a vendu la mèche. Les systèmes de détection d'intrusion ont alors repéré l'anomalieanomalie et ils ont isolés les distributeurs infectés.

    En réponse à cet incident, Diebold a annoncé l'intégration systématique de Sygate Security Agent, un outil qui assure la détection d'intrusion sur l'hôte et le filtrage IP.

    Cette affaire ne serait pas la première à concerner les distributeurs de billets. Selon notre confrère Securityfocus, le ver Slammer aurait neutralisé en début d'année 13.000 distributeurs de la Bank Of America, après avoir infecté des bases de données MicrosoftMicrosoft SQL Server situées sur le même réseau. L'activité de Slammer avait alors provoqué un tel embouteillage que les distributeurs n'étaient plus capables d'utiliser le réseau. Slammer avait également trouvé sa voie jusque dans une centrale nucléairecentrale nucléaire américaine, en infectant plusieurs de ses systèmes de reporting.

    Aujourd'hui, seuls 12% (estimation Celent) des distributeurs fonctionnent sous Windows, les autres sont le plus souvent sous OS/2. Mais la part de Windows pourrait atteindre 65% d'ici 2005 tant les banques semblent pressées de mettre à jour leur parc vieillissant. De même, les réseaux qui connectent ces machines sont appelés à évoluer des protocoles propriétaires utilisés aujourd'hui vers TCP/IPTCP/IP.