Des vulnérabilités décelées dans des guichets automatiques Bitcoin

Alors que le nombre de guichets automatiques crypto a continué de progresser dans le monde, hormis en France où ils ne sont pas les bienvenus (blanchiment d’argent… blabla… financement du terrorisme), le laboratoire de recherche de Kraken a décelé plusieurs failles de sécurité matérielle et logicielle dans l’un des modèles les plus courants.

De gros bugs dans la machine

Kraken Security Labs vient de révéler que son équipe d’experts dédiée à la sécurité des protocoles blockchain avait découvert des vulnérabilités dans le modèle d’ATM produit par le fabricant General Bytes. Deuxième constructeur au monde, ses machines représentent 22,7% du marché mondial, selon le fournisseur d’informations Coin ATM Radar, principalement installées aux Etats-Unis.

Plusieurs vecteurs d’attaque relevés via le code QR administratif par défaut, le logiciel d’exploitation Android, le système de gestion des guichets automatiques et même le boîtier matériel de la machine. »

Article du blog de Kraken

L’équipe d’experts a signalé les faiblesses du modèle GBBATM2 au fabricant qui a apporté des améliorations à son système. Mais visiblement de leur point de vue, les corrections ne sont pas suffisantes.

Kraken Security Labs a signalé les vulnérabilités à General Bytes le 20 avril 2021. Ils ont publié des correctifs pour leur système backend (CAS) et alerté leurs clients. Mais des correctifs complets pour certains des problèmes peuvent encore nécessiter des révisions matérielles. 

Article du blog de Kraken

Plus précisément, il semblerait que le code QR d’administration, contenant un simple hachage d’un paramètre d’usine par défaut, soit au centre des préoccupations. En effet, alors que chaque machine devrait être configurée avec un code dédié, celles testées par l’équipe ont révélé le même code par défaut. Conséquence : tout individu disposant de cette clé d’administration peut compromettre un guichet automatique.

Conseils aux usagers des ATM

Les distributeurs automatiques de crypto ont le vent en poupe parce qu’ils n’exigent pas d’expertise particulière. Tout utilisateur d’un distributeur de billets classique se sent en capacité d’effectuer la même démarche avec du bitcoin ou d’autres cryptos en suivant les instructions qui s’affichent sur l’écran.

Néanmoins quelques précautions sont à observer selon Kraken. Il s’agit d’abord de ne pas se perdre au fin fond d’une impasse nichée dans une lointaine friche industrielle (ça sent le vécu !), mais de repérer un distributeur situé dans un emplacement ayant pignon sur rue. Il faudra ensuite s’assurer que l’endroit est sécurisé par des caméras ou d’autres mesures de surveillance. Ensuite, le b.a.-ba en matière de crypto, que ce soit à un guichet ou chez soi devant l’ordinateur, rester attentif et prudent tout au long du processus. Enfin, avant d’engager de grosses sommes, faites un essai avec un petit montant.