Le fournisseur de distributeurs automatiques Lamassu Industries a corrigé une vulnérabilité dans ses distributeurs automatiques de bitcoin (BTC) après qu'une équipe de pirates éthiques a pris le contrôle total des appareils, mettant ainsi en évidence certaines de leurs failles.
En 2023, des chercheurs en sécurité d'IOActive ont tenté de détourner plusieurs distributeurs automatiques de Lamassu. En essayant d'accéder aux machines, l'équipe de recherche a identifié plusieurs vulnérabilités qu'elle a réussi à exploiter pour obtenir l'accès aux DAB.
Gunter Ollman, directeur de la technologie chez IOActive, a déclaré à Cointelegraph que grâce à cette manœuvre, les pirates pouvaient « voir et manipuler les interactions avec le guichet automatique détourné ». Le professionnel de la sécurité a expliqué que les pirates pouvaient voler des BTC du portefeuille de l'utilisateur par le biais du guichet automatique en utilisant les vulnérabilités. M. Ollman a expliqué :
« Un pirate sophistiqué, avec une préparation suffisante, pourrait modifier ou remplacer l'ensemble de l'expérience de l'utilisateur du guichet automatique et pousser socialement l'utilisateur à effectuer des actions supplémentaires. »
Il a ajouté que le pirate pourrait également inciter l'utilisateur à entrer ses coordonnées bancaires, en l'attirant avec des offres telles que des bitcoins gratuits ou à prix réduit. Toutefois, M. Ollman a également assuré à la communauté que l'effet serait limité au solde du compte de l'utilisateur.
« En fin de compte, lorsqu'un appareil peut être compromis jusqu'au niveau du système d'exploitation, la portée de l'attaque contre l'utilisateur n'est limitée qu'au degré de confiance de l'utilisateur dans l'appareil ou dans le fabricant de l'appareil qu'il utilise. », a-t-il ajouté.
Gabriel Gonzalez, directeur de la sécurité matérielle chez IOActive, a ajouté que cette vulnérabilité permettait à un pirate ayant un accès physique au distributeur d'en avoir « le contrôle total ». M. Gonzalez a expliqué qu'outre le vol de bitcoins, la vulnérabilité pouvait également conduire au retrait de tout l'argent contenu dans le distributeur. Elle pourrait également « tromper le lecteur de billets » en affichant un montant plus élevé que le montant réel de l'argent déposé.
À lire également : Les distributeurs automatiques de bitcoins enregistrent une hausse après 4 mois de baisse
Le dirigeant a également ajouté que les distributeurs automatiques de billets auraient pu être exploités de plusieurs manières, en particulier s'ils sont laissés sans surveillance, quel que soit l'endroit où ils se trouvent.
Bien que la faille dans les distributeurs automatiques aurait pu avoir de graves conséquences pour leurs utilisateurs, le fournisseur avait déjà déployé un correctif de sécurité avant que la vulnérabilité ne soit révélée au public en 2024. La société a informé les propriétaires de distributeurs automatiques et les a invités à mettre à jour leurs distributeurs Bitcoin.