La Reserve Bank of India (RBI) a notifié à toutes les institutions financières locales de changer le système d’exploitation des distributeurs automatiques de billets qui fonctionnent encore sous Windows XP. Ils feront l’objet de sanctions réglementaires s’ils ne respectent pas le délai de ? juin 2019.
Bleeping Computer a reçu une copie de la notification de la RBI. Les banques devront mettre en place certaines mesures de sécurité avant de remplacer Windows XP par un autre système plus récent.
Au cours de la première phase, qui dure jusqu’en août 2018, les banques doivent mettre en place des mots de passe dans le BIOS des guichets automatiques, désactiver les ports USB, appliquer les derniers correctifs de sécurité et limiter le temps d’accès des administrateurs.
Dans la deuxième phase, qui s’étend jusqu’en mars 2019, les institutions adopteront des mesures visant à empêcher le clonage de cartes et appliqueront une liste blanche pour ne permettre l’accès critique qu’à certains utilisateurs.
Entre-temps, la troisième phase est la migration de XP vers des systèmes plus modernes. Il y a quatre étapes :
L’année dernière, 70 % des distributeurs automatiques de billets en Inde fonctionnaient encore sous Windows XP. La RBI a averti les banques des risques de sécurité dès 2014, lorsque le système a perdu le soutien de Microsoft.
“La lenteur des progrès des banques dans le traitement de ces questions a été prise au sérieux par la RBI”, indique la notification. “La vulnérabilité des distributeurs automatiques de billets qui utilisent une version non supportée du système d’exploitation… peut nuire aux intérêts des clients.”
Ce problème n’est pas limité à l’Inde. Selon un rapport de Trend Micro, la plupart des distributeurs automatiques de billets dans le monde fonctionnent encore sous Windows XP ou XP Embedded, une version dont la prise en charge prolongée a pris fin en 2016.
Les banques résistent aux mises à jour car, pour remplacer le système d’exploitation, elles doivent échanger tout l’ordinateur derrière le distributeur automatique de billets ? et cela coûte de l’argent.
De plus, les anciens distributeurs automatiques de billets ne peuvent pas être mis à jour à distance. Un employé du service informatique doit se rendre dans chacun d’eux pour appliquer manuellement les mises à jour de sécurité, et son temps est également précieux.
Cela signifie que les banques ne sont pas incitées à mettre à jour Windows XP, ni à cesser de l’utiliser – du moins pas de leur propre chef. C’est pourquoi la RBI a décidé d’établir un calendrier ; d’autres pays pourraient devoir faire de même.
