Le Jackpotting, un phénomène sous-étudié

Le Jackpotting, un phénomène sous-étudié.

[pic 1]

Auteur : Gillardin François

Professeure : Bergeron Andréanne

Table des matières

1.        Introduction        3

2. Description de la criminalité détecté        4

-Fraude à la carte        4

-Attaques physiques        5

-Attaques logiques        5

3. Recherche sur le sujet        6

-Quel est le dispositif externe utilisé ?        7

-Défi pour les enquêteurs ?        8

-Conséquences pour les victimes ?        8

4. Prévalence au Canada        8

5. Condamnations ultérieures et lois s’y appliquant        9

6. Questions ou perspectives de recherches actuelles (comment prévenir ?)        11

7. Méthode de recherche et sources de données        12

8. Conclusions scientifiques sur la forme de criminalité        12

Bibliographie        14

1. Introduction

        Pour commencer, il est important de réaliser une description du sujet afin de mieux cerner la problématique en question. D’après un article publié dans « Le journal de Montréal^[1] » (Tremblay, 2020), les évènements qui ont eu lieu récemment concernent la banque Laurentienne directement. Plusieurs de leurs distributeurs d’argent (six succursales différentes) ont été piratés dans la grande région de Montréal (Montréal, Saint-Jérôme, Terrebonne et Saint-Eustache). Selon l’article, il s’agirait de plusieurs malfaiteurs ayant utilisé un « appareil externe » (de type ordinateur ou tablette) afin d’établir une connexion avec les distributeurs automatiques dans le but de prélever de l’argent de manière illégale. Le procédé utilisé par les malfaiteurs ne durerait que quelques minutes et leur aurait permis d’obtenir entre 80 000 et 200 000 $ dans chacune des succursales visitées. C’est en dehors des heures d’ouverture et en fin de semaine que le vol a été commis. Du côté de l’enquête, il apparait qu’aucunes données clients n’ont été dérobées et qu’il n’y ait pas de pertes financières pour les clients à proprement parler.

        Plus précisément sur les malfaiteurs, il a été mis en évidence qu’au moment de leur passage, un message d’erreur a pu être détecté par la banque, ce qui permet de déterminer les heures durant lesquelles le crime a eu lieu.

Au vu des évènements récents chez Desjardins, les préoccupations concernant la sécurité informatique sont grandissantes. Pour l’heure, l’enquête est toujours en cours mais il a été mentionné, certes sans certitude, une possibilité que ce piratage ait été fait par quelqu’un travaillant dans la banque Laurentienne. Effectivement, les experts soulignent qu’il est nécessaire d’avoir des compétences ciblées dans le domaine pour effectuer ce type d’attaque. Mais il est aussi à noter qu’avec la quantité d’informations circulant de nos jours sur Internet, il est aisé de se procurer des manuels d’utilisation des distributeurs d’argent, notamment via le Dark Web.

        Plusieurs questions émergent suite à ces évènements comme : À quoi fait-on référence lorsque l’on parle d’un appareil externe utilisé ? En quoi consiste concrètement cette fraude ? Est-ce une pratique répandue au Canada et partout dans le monde ? Quelles lois s’appliquent à ce type de criminalité ? Que faudrait-il faire pour prévenir ce type d’attaque ? Beaucoup de questions auxquelles je vais tenter de répondre au cours de ce travail.

        Après avoir vu les évènements survenus à la banque Laurentienne, nous allons aborder le type de criminalité auquel ceux-ci se rapportent. Suite à cela, nous parlerons de l’état des recherches sur le sujet puis de la prévalence de ce type de délit au Canada et dans le monde. Un petit tour au niveau de la législation s’appliquant à ces évènements sera un passage indispensable pour cerner les risques auxquels ces criminels s’exposent. Nous parlerons également des perspectives actuelles face au type de criminalité concerné ainsi qu’une petite évaluation des sources utilisées dans les différentes recherchent. Enfin nous terminerons avec la conclusion de ce travail.

2. Description de la criminalité détecté

        Afin de bien saisir le type de criminalité qui est en cause dans l’article présenté ci-dessus, il est important de définir les différents concepts l’entourant. Tout d’abord, il faut parler du dispositif bancaire attaqué par les malfaiteurs, à savoir, le Guichet Automatique Bancaire (GAB) ou « Distributeur Automatique de Billets » (DAB) en français et « Automated Teller Machine » (ATM) en anglais. Comme la majorité de la population l’utilise, « un GAB est un distributeur automatique de billets avec la capacité de créditer ou de débiter un compte client sans intervention humaine » (Batiz-Lazo & Reid, 2011).

Bien que nous parlerons d’un cas précis de criminalité touchant ces dispositifs, il faut tout de même citer différents types d’attaques possibles sur ceux-ci afin de mieux comprendre ce phénomène comme par exemple la fraude de carte, les attaques physiques et les attaques logiques (logical attack en anglais).

-Fraude à la carte 

        Déjà en 2010, un homme en Angleterre a été victime d’une fraude bancaire sur un distributeur et dénonçait le manque de sécurité en place dans sa banque (Bradbury, 2010). Il y décrit le type de fraude dont il a été victime appelée le « skimming » (écrémage en français) qui consiste à placer une petite caméra filmant le clavier et un dispositif (nommé  skimmer) directement à l’endroit où l’on insère une carte bancaire dans un distributeur afin d’en collecter l’empreinte magnétique. La carte bancaire est ensuite dupliquée et utilisée par les malfaiteurs. Bien que de nombreux garde-fous aient été développés pour protéger les clients, les malfaiteurs poussent toujours plus loin en utilisant des logiciels malveillants pour infecter les DAB. Cela peut se faire soit en installant le logiciel malveillant directement sur la machine lors de sa fabrication, par le personnel travaillant dans les banques (comme suggéré dans l’article), par tout individu mal intentionné mais il serait également possible de le faire à distance.

-Attaques physiques 

        C’est probablement le type d’attaque la plus « populaire » grâce au cinéma et aux faits divers. Les attaques physiques consistent « à l’endommagement physique du GAB au moyen de forages, de coupes, etc. Ces attaques incluent tout type de violation qui endommage les composants du GAB afin d’obtenir de l’argent » (Arpitha B.R, 2015). On peut comprendre ici qu’il est nécessaire d’avoir recours à des outils afin d’accéder aux différentes parties du DAB, comme le compartiment à billet.

-Attaques logiques 

        Ce troisième type d’attaque est en augmentation. Les malfaiteurs ont recours à des appareils électroniques externes (appelé par exemple BlackBox attack) ou à des logiciels malveillants (Malware attack) qui vont leur permettre de contrôler le DAB et de l’exploiter pour débloquer de l’argent. On appelle ce phénomène le « cash-out » ou le « Jackpotting^[2] ». Un article de Radio Québec^[3] explique que les logiciels malveillants appelés CutletMaker et WinPot sont destinés à être utilisés sur des DAB. Il s’avère que ces logiciels sont injectés dans la machine grâce à un simple port USB et lancer via un lecteur flash. C’est cette technique qui semble le plus correspondre au mode opératoire des malfaiteurs de la banque Laurentienne.

Pour information, le terme « Jackpotting » est né suite aux premières attaques ayant eu lieu aux États-Unis. En effet, après s’être fait dérober des quantités d’argent sur les distributeurs, ceux-ci affichaient « Jackpot^[4] ». Les premières attaques connues aux USA concernaient les sociétés Diebold Nixdorf et NCR Corp. Le logiciel malveillant utilisé dans ce cas s’appelle « Plotous.D » (Singh et al., 2019) et tout comme les logiciels CutletMaker et WinPot, il est possible de se le procurer sur le DarkWeb. Ces logiciels sont régulièrement mis à jour par les cybercriminels, ce qui nécessite une attention particulière de la part des autorités compétentes.