Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

ESET Research découvre ModPipe, une porte dérobée ciblant les terminaux de point de vente utilisés par des milliers de restaurants et d’hôtels

novembre 2020 par ESET

Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert ModPipe, une porte dérobée modulaire qui permet à ses opérateurs d’accéder à des informations sensibles stockées dans des terminaux de point de vente (TPV) utilisant ORACLE MICROS Restaurant Enterprise Series (RES) 3700, une suite de gestion utilisée par des centaines de milliers de bars, restaurants, hôtels et autres établissements de l’industrie de l’hôtellerie et de la restauration dans le monde entier. La plupart des cibles identifiées sont situées aux États-Unis.

La porte dérobée se distingue par ses modules téléchargeables et leurs fonctionnalités, notamment un algorithme personnalisé conçu pour rassembler les mots de passe des bases de données des TPV RES 3700, en les déchiffrant à partir des valeurs de la base de registre Windows. Cela prouve que les auteurs de la porte dérobée ont une connaissance approfondie du logiciel ciblé, et qu’ils ont opté pour cette méthode sophistiquée au lieu de collecter les données via une approche plus simple mais plus facile à détecter, comme l’enregistrement des frappes au clavier. Les identifiants extraits permettent aux opérateurs de ModPipe d’accéder au contenu des bases de données, y compris les différentes définitions et configurations, les tables d’état et les informations sur les transactions effectuées sur les TPV.

« Cependant, d’après la documentation des TPV RES 3700, les pirates ne devraient pas être en mesure d’accéder à certaines des informations les plus sensibles, telles que les numéros de cartes de crédit et les dates d’expiration, qui sont protégées par un chiffrement. Les seules données des clients stockées en clair et donc accessibles aux pirates devraient être les noms des titulaires de cartes, » met en garde Martin Smolár, le chercheur d’ESET qui a découvert ModPipe.

« Les éléments les plus intrigantes de ModPipe sont probablement ses modules téléchargeables. Nous sommes au courant de leur existence depuis fin 2019, lorsque nous les avons découvert et analysé pour la première fois, » explique M. Smolár.

Modules téléchargeables :

• GetMicInfo cible les données relatives aux TPV MICROS, notamment les mots de passe des deux noms d’utilisateur de la base de données prédéfinis par le fabricant. Ce module peut intercepter et déchiffrer ces mots de passe pour la base de données en utilisant un algorithme spécialement conçu à cet effet.
• ModScan 2.20 collecte des informations supplémentaires sur l’environnement des TPV MICROS installés sur les machines en scannant certaines adresses IP.
• ProcList a pour objectif principal de collecter des informations sur les processus en cours d’exécution sur la machine.

« L’architecture de ModPipe, ses modules et leurs fonctionnalités indiquent également que leurs auteurs possèdent une connaissance approfondie du logiciel des TPV RES 3700. Leurs compétences pourraient découler de plusieurs scénarios, par exemple le vol et la rétro-ingénierie du logiciel propriétaire, l’utilisation détournée de portions qui aurait été fuitées, ou l’achat de code sur un marché clandestin, » ajoute M. Smolár.

Pour éviter les attaques de ModPipe, il est conseillé aux entreprises de l’industrie de l’hôtellerie et de la restauration ainsi qu’à toute autre entreprise utilisatrice des TPV RES 3700 de prendre les précautions suivantes :
• Utiliser la toute dernière version du logiciel.
• L’utiliser sur des appareils équipés de versions à jour du système d’exploitation et des logiciels.
• Utiliser un logiciel de sécurité multicouche fiable capable de détecter ModPipe et des menaces similaires.

Si vous ne souhaitez plus recevoir d’informations cliquez ici


Voir les articles précédents

    

Voir les articles suivants