Les guichets automatiques ont de nouveau été ciblés par une vaste campagne de vol numérique, mais cette fois l'arme n'est pas un écumeur caché dans la fente de carte mais un logiciel malveillant qui force la machine à cracher des notes sans transaction légitime. Le Federal Bureau of Investigations (FBI) des États-Unis a mis en garde contre une augmentation significative de tels incidents, connu dans l'argot comme "jackpotting" : depuis 2020, près de 1 900 attaques ont été signalées et l'année dernière seulement, environ 700 ont été enregistrées, avec des pertes supérieures à 20 millions de dollars en 2025, selon le FBI lui-même dans son bulletin technique.
Derrière beaucoup de ces épisodes est un malware spécialisé, avec des noms que les chercheurs ont déjà identifiés et étudiés depuis des années. Un exemple de paradigme est Plutus, initialement détecté au Mexique en 2013, qui permet aux attaquants de prendre le contrôle direct du matériel ATM. Contrairement à une fraude bancaire traditionnelle, vous n'avez pas besoin de cloner une carte ou d'accéder aux comptes clients ici: l'objectif est de forcer le caissier à distribuer de l'argent par des commandes malveillantes que le logiciel infecté envoie au distributeur lui-même.
L'attaque combine deux ingrédients essentiels : les vulnérabilités physiques et les faiblesses du logiciel. Dans de nombreux cas, les criminels obtiennent un accès physique simple en ouvrant le logement de la caisse avant avec des clés génériques et largement disponibles. Avec cette entrée, ils ont le temps de manipuler l'équipement en interne et de commencer le processus d'infection. Une technique fréquente consiste à retirer le disque dur du caissier, à copier ou à remplacer son contenu par une image contenant des logiciels malveillants et à remonter et redémarrer la machine. Une autre variante est de remplacer le disque par un déjà préparé avec le logiciel malveillant, de sorte que lorsque vous allumez l'ordinateur, l'attaque s'exécute immédiatement.
Ce qui rend la défense particulièrement difficile est que les logiciels malveillants ne fonctionnent pas à un niveau de surface de l'application bancaire de l'ATM, mais communique plutôt avec la couche qui contrôle le matériel: dans la plupart des caissiers que l'interaction est gérée par la spécification XFS (eXtensions for Financial Services). Si un attaquant est en mesure de donner ses propres instructions à cette couche, il peut complètement ignorer l'autorisation bancaire et ordonner l'expulsion d'espèces sur demande. De plus, la plupart de ces machines fonctionnent sur les systèmes Windows, ce qui facilite l'adaptation du même ensemble d'outils malveillants avec peu de changements à la caisse des différents fabricants. La description technique se trouve dans Wikipédia (CEN / XFS) et sur Plutus en votre spécification.
La vitesse de l'attaque est une autre raison pour laquelle ils sont attrayants pour les criminels: une fois le logiciel en place, un "cash-out" peut se produire en quelques minutes et passe généralement inaperçu jusqu'à ce que l'argent ait déjà été retiré. Le ministère de la Justice des États-Unis. Les États-Unis et le FBI ont suivi le phénomène et documenté les pertes cumulatives qui atteignent des dizaines de millions de dollars ces dernières années; pour une lecture officielle et technique sur la nature de ces incidents et recommandations, le FBI a publié un avis résumant la menace et les mesures suggérées ( Bulletin du FBI IC3).
Compte tenu de ce scénario, la réponse ne peut être numérique ou physique seulement : elle doit combiner les deux. Les recommandations des autorités insistent sur le renforcement du contrôle d'accès et de la surveillance autour des caissiers, la modification des serrures standard pour des solutions plus sûres et l'équipement de machines avec des capteurs qui détectent les tenues ou les manipulations. La logique est claire : sans possibilité d'accès physique, la plupart des chaînes d'infection sont frustrées. Mais ça ne suffit pas.
Au niveau de la gestion des logiciels et des parcs ATM, il est conseillé de vérifier régulièrement les appareils, de supprimer les comptes par défaut et les justificatifs d'identité, et de mettre en œuvre des politiques d'autorisation qui empêchent la connexion ou l'utilisation d'appareils de stockage non autorisés. Il est également recommandé que les distributeurs automatiques de billets aient des modes d'arrêt ou de quarantaine automatiques où des indicateurs d'engagement sont détectés, et que les équipes tiennent des registres d'activités détaillés pour permettre la reconstruction des événements et faciliter les enquêtes médico-légales. Ces mesures permettent de fermer les routes qui exploitent à la fois l'accès physique et la manipulation du système d'exploitation sous-jacent.
Le facteur humain ne doit pas être oublié : la formation du personnel qui maintient et examine ces équipements est essentielle à la détection des anomalies dans le temps. Quelque chose d'aussi routinier que l'inspection visuelle des timbres de sécurité, la vérification des registres d'activité ou la vérification que les verrous et les capteurs fonctionnent correctement peuvent faire la différence entre une tentative ratée et une perte réelle.
Bien que la menace des attaques de jackpot n'est pas nouvelle, leur persistance et la sophistication des méthodes utilisées forcent les banques, les opérateurs de guichet automatique et les autorités à coordonner plus intensément. Du point de vue des citoyens, le risque direct est souvent plus faible (les agresseurs cherchent de l'argent physique sur les machines, pas sur les comptes personnels), mais l'impact économique et de confiance est palpable pour l'industrie. Pour ceux qui veulent approfondir les aspects techniques et l'évolution du problème, en plus de la lettre d'information du FBI, il ya une large couverture technique et journalistique qui suit des incidents similaires au niveau mondial; l'examen de l'analyse historique du jackpot aide à comprendre comment les tactiques changent et quelles pratiques se sont avérées plus efficaces pour les atténuer.
La leçon principale est double et urgente: renforcer la sécurité physique des distributeurs automatiques de billets et ne pas sous-estimer la surface d'attaque du logiciel qui gouverne votre matériel. Les deux moitiés du problème doivent être renforcées simultanément pour réduire la fenêtre que les agresseurs exploitent et pour minimiser les pertes économiques et les dommages à la confiance du public.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...