Ciseaux à bois, Team Viewer, et ATM Desk: les coulisses d’une filière de jackpotting

Dix distributeurs automatiques de billets visés, dont trois avec succès, pour un butin d’environ 72 000 euros. A l’automne 2018, une bande s’est attaquée à des distributeurs de billets de l’Est de la France. Quatre prévenus âgés de 28 à 48 ans– dont seulement deux présents à l’audience, qui ont globalement reconnu les faits qu’on leur reproche – ont été jugés cette semaine à Paris pour association de malfaiteurs et des infractions informatiques. Ils sont soupçonnés d’avoir piraté et vidé des automates, une méthode connue sous le nom de jackpotting. Un clin d’œil à l’univers des machines à sous : ces piratages de guichets peuvent se conclure par des liasses de billets lâchées sur la chaussée.

L’audience en chambre correctionnelle – un procès visiblement inédit en France pour une telle série de faits – a permis d’en savoir un peu plus sur cette technique émergente. Les investigations, conduites par la police judiciaire de Nancy et de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication, ont en effet mis en lumière une partie du mode opératoire. Armés de gants, cagoules, de ciseaux à bois, de talkies-walkies, et de câbles USB, les quatre hommes sont soupçonnés d’avoir ciblé entre septembre 2018 et janvier 2019 des distributeurs automatiques de billets isolés.

Selon les investigations, la bande s’intéressait à deux modèles précis de distributeurs de marque NCR. Une fois repérés, l’écran était d’abord arraché, puis désolidarisé à l’aide d’un tournevis ou d’un ciseau à bois. Puis, la trappe inférieure gauche était arrachée et les câbles de l’écran sectionnés. Enfin, une fois la plaque interne de protection démontée, un ordinateur était branché, via un câble usb, permettant ainsi de se brancher directement sur le distributeur, une opération détaillée dans un tutoriel en langue russe retrouvée dans l’informatique des suspects, qui contenait également la distribution spécialisée dans les tests d’intrusion Kali Linux.

Retrait en local, piratage à distance

La partie la plus critique de l’attaque, le piratage informatique, était opérée à distance. L’ordinateur branché au distributeur, connecté au réseau par un téléphone servant de point d’accès, était en effet équipé de Team Viewer. Une session était lancée sur place par les suspects en France, laissant ensuite le contrôle des opérations à un hacker, prévenu par message, opérant à distance. Selon l’enquête, le hacker utilisait le logiciel ATM Desk, destiné à des opérations de maintenance, pour pirater le distributeur et faire cracher les billets. « Comme dans toute attaque informatique, le hacker profite de vulnérabilités qui n’ont pas été patchées », précise à l’audience la vice-procureure Johanna Brousse.

« La prise de contrôle physique du distributeur nous prenait cinq minutes maximum, détaille Ihar K., l’un des prévenus de cette affaire, en détention depuis son arrestation en avril 2019. Puis on attendait que le hacker fasse son travail – parfois il fallait attendre jusqu’à 45 minutes. Je ne voyais plus rien à ce moment-là. Le hacker disait que c’était plus commode de fermer l’ordinateur et de le poser à côté. Il nous demandait également de l’informer une à deux minutes avant notre départ pour pouvoir nettoyer le système. » Une opération qui n’était pas toujours couronnée de succès, puisque à sept reprises le piratage n’a pas marché. Mais, quand elle réussit, les suspects réussissent à retirer, en utilisant une barre aimantée pour déplacer à distance la caissette, des sommes importantes : 12 000, 24 000, et 36 000 euros. Et ce sans déclencher l’alarme, puisque pour le distributeur le retrait est légitime. Le butin devait ensuite être partagé en plusieurs parts. D’abord une moitié pour le hacker, payé ensuite sous la forme d’une transaction en bitcoin, puis le solde réparti en parts égales entre les membres de la bande.

Angle mort de l’enquête, le mystérieux hacker n’a pas pu être identifié. Initialement, l’un des prévenus avait contacté ce hacker sur un forum russophone de carding, avant de basculer sur la messagerie Jabber. Un site toujours actif où l’on peut consulter encore très récemment des offres d’emplois autour du jackpotting. « Je cherchais sur internet des moyens de gagner de l’argent, puis j’ai vu une annonce », résume Ihar. Identifié sous les pseudonymes de Max, Maxime ou Litronax, visiblement russophone, le maître d’œuvre pourrait donc vivre en Ukraine ou en Russie. Le jugement des “petites mains”, selon les mots d’un des avocats de la défense, Me Samuel Habib, est attendu ce lundi 17 mai, pour des peines requises allant jusqu’à cinq ans de prison.