L'avertissement du FBI n'est pas une histoire de science-fiction : l'année dernière, les attaques dites "jackpotting" - dans lesquelles les criminels forcent les distributeurs à cracher de l'argent à l'aide de logiciels malveillants - ont eu un retour inquiétant. Selon l'alerte technique publiée par le FBI Les banques et les exploitants de guichets automatiques ont été informés de plus de 700 incidents en 2025 seulement, en plus d'environ 1 900 cas signalés depuis 2020, et les pertes estimées ont dépassé 20 millions de dollars. Nous ne parlons pas de fraudes complexes à distance contre les comptes cloud, mais d'attaques qui, dans de nombreux cas, nécessitent une entrée physique dans la machine et qui se déroulent en quelques minutes.
Pour comprendre pourquoi ces vols sont si efficaces, il est utile de regarder le cœur du caissier : la couche de logiciel qui commande le matériel physique à faire. De nombreux guichets automatiques utilisent la norme connue sous le nom de eXtensions for Financial Services, ou XFS. Lorsqu'un utilisateur effectue un retrait légitime, l'application ATM envoie des instructions par l'intermédiaire de XFS pour demander l'autorisation à la banque avant de publier des billets. Malware en tant que Plutus et variantes plus récentes se concentrent précisément sur ce calque : si un attaquant peut émettre des commandes directement sur XFS, peut effectuer la vérification bancaire et commander au caissier de distribuer des espèces sur demande, pas de carte ou de compte associé.
La procédure n'est pas sophistiquée en termes d'ingénierie : elle combine généralement accès physique et préparation préalable. La criminalistique signale que les criminels peuvent ouvrir le logement avec des clés génériques largement disponibles, extraire le disque dur du caissier ou utiliser des ports pour charger des logiciels à partir de supports amovibles, et remplacer ou écraser l'image du système avec un autre contenant des logiciels malveillants. En d'autres occasions, la machine est préparée à l'avance et l'attaquant n'a qu'à entrer un nouveau disque ou appareil dans l'endroit et exécuter le code. Le résultat est un guichet automatique qui semble fonctionner normalement jusqu'à ce que, soudainement, il commence à distribuer des billets sans aucune opération enregistrée valide.
Ces attaques passent souvent inaperçues pour des entités jusqu'à ce que l'argent ait déjà disparu. La combinaison d'intrusion physique et de manipulation d'image du système fait que de nombreuses solutions de surveillance du réseau ne détectent pas d'activité malveillante, parce que la caissière peut continuer à communiquer avec les systèmes centraux ou semble être normale pendant que l'attaque se déroule localement.
Compte tenu de ce scénario, la propre recommandation du FBI indique des mesures simples mais efficaces : vérifier les guichets automatiques à la recherche d'une utilisation non autorisée de stockage amovible et de procédés inconnus, et appliquer la validation de l'intégrité de l'image « or » du système pour détecter les manipulations précoces. La combinaison de contrôles physiques (verrouillage et garde des clés, scellés de preuves falsifiées, caméras) et de contrôles logiques (démarrage désactivé à partir d'USB, chiffrement du disque, vérification d'image, liste des processus blancs) considérablement réduit la fenêtre d'opportunité des attaquants. Pour ceux qui veulent approfondir le fonctionnement de Plutus et son évolution, il y a des analyses techniques qui expliquent son modus operandi, comme celles publiées par des spécialistes de la sécurité. dans ESET.
L'augmentation des incidents s'est accompagnée d'activités policières et judiciaires. Aux États-Unis, la recherche s'est concentrée sur les réseaux organisés; le ministère de la Justice a dirigé des accusations contre de nombreuses personnes liées à des programmes à grande échelle qui auraient utilisé ce type de malware pour vider les caissiers. Bien que la persécution légale soit complexe et que les peines varient selon la juridiction et les accusations, ces processus montrent que les groupes responsables peuvent devenir des organisations transnationales ayant la capacité de coordonner la logistique criminelle et l'ingénierie de logiciels malveillants. Pour accéder aux communications et actions officielles, le site Ministère de la Justice C'est la référence institutionnelle.
Que peuvent faire les institutions financières et les opérateurs de guichets automatiques dès maintenant? Outre les audits et la validation d'images, il existe des mesures spécifiques qui réduisent l'exposition : protéger physiquement les unités, contrôler strictement qui a accès aux clés et aux composants internes, faire des inventaires de matériel et de logiciels, mettre en œuvre la détection de périphériques USB non autorisés et, très important, maintenir des procédures de réponse rapide lorsqu'une intrusion est détectée. La collaboration entre l'industrie et les agences de sécurité est également essentielle : le partage d'indicateurs d'engagement et de tactiques observées permet de prévenir les imitations et les variantes de logiciels malveillants.
Pour les caissiers réguliers, le risque direct est limité (les attaques pointent vers la caissière elle-même, et non vers des comptes spécifiques), mais il convient de maintenir une attitude vigilante : si une caissière montre des signes de manipulation physique, fonctionne de façon erratique ou n'offre pas de reçu, il est préférable d'utiliser un autre terminal et d'avertir la banque. À l'ère où le logiciel définit de plus en plus le comportement matériel, la sécurité physique et la cybersécurité doivent marcher ensemble empêcher un distributeur de devenir un registre sans contrôle.
Ce type d'attaque nous rappelle que la sécurité technologique n'est pas seulement une question de patchs et de pare-feu : c'est une discipline qui mélange les contrôles humains, les processus et la technologie. Les preuves et recommandations actuelles du FBI soulignent que l'intervention dans chacune de ces couches - de la gestion des clés à l'intégrité de l'image du système - est le seul moyen de restreindre la clôture à ceux qui transforment un guichet automatique en un distributeur d'argent illicite. Pour plus de contexte et de suivi journalistique sur ces faits et leur évolution, des médias spécialisés tels que Calculateur assurer une couverture constante et à jour.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...