Le FBI décrit une hausse brutale des piratages de distributeurs aux États-Unis, où des malwares forcent l’éjection de billets. Derrière ces attaques, une logistique criminelle et un vieux problème, le contrôle physique.
Le FBI alerte sur une augmentation marquée des attaques « jackpotting » contre les distributeurs automatiques de billets aux États-Unis. Plus de 1 900 incidents ont été signalés depuis 2020, dont plus de 700 pour la seule année 2025, avec des pertes dépassant 20 millions de dollars (18 millions d’euros). Les malfaiteurs exploitent des failles physiques et logicielles pour installer un logiciel malveillant capable d’ordonner au distributeur de sortir du cash sans transaction légitime. L’enjeu cyber bascule vers le terrain et le renseignement opérationnel.
Ploutus, le malware qui parle directement aux composants
Le jackpotting, ZATAZ vous en montrait déjà les effets du jackpotting voilà plus de 10 ans ! Aujourd’hui, dans son avis, le FBI décrit un scénario qui contourne l’imaginaire classique de la fraude bancaire. Ici, rien à siphonner sur le compte d’un client, rien à détourner via un virement. L’attaque vise la machine elle-même, et la récompense tombe en billets, en quelques minutes, sans passer par une opération bancaire autorisée. Ce déplacement du risque complique la détection, car les outils de surveillance centrés sur les réseaux et les transactions voient parfois… moins de signaux.
Le FBI met en avant la famille de malwares dite Ploutus, associée à une nouvelle vague d’attaques de type « jackpotting ». Le principe est technique, mais l’objectif est simple. Ploutus cible la couche logicielle XFS (eXtensions for Financial Services), celle qui orchestre la relation entre le logiciel et le matériel, notamment la distribution des billets. Une fois implanté, le code malveillant permet d’envoyer des commandes au distributeur, en court-circuitant les mécanismes d’autorisation bancaire. Un « cheat » ou « easter egg ». Un code secret à taper sur le clavier du distributeur de billets pour que le GAB/DAB/ATM. par exemple, tapez sur votre clavier, ici, maintenant, n’importe où dans l’écran : zataz 😉
Le sujet n’est pas nouveau donc, et c’est justement ce qui inquiète. Des agences de sécurité suivent cette famille depuis des années. Ploutus a déjà été décrit, analysé comme l’une des souches de malwares pour distributeurs les plus sophistiquées observées dans la cybercriminalité financière. Symantec l’a notamment repéré dès 2013, d’abord dans des attaques d’ampleur au Mexique, avant une diffusion progressive à l’international. Selon les informations rappelées, les opérateurs ont fait évoluer l’outil pour qu’il s’adapte à plusieurs environnements de fournisseurs, dont des systèmes associés à Diebold Nixdorf.
Les chiffres cités par le FBI donnent l’échelle. Plus de 1 900 incidents ont été remontés depuis 2020, dont plus de 700 sur la seule année 2025, pour des pertes qui dépassent 20 millions de dollars. Pour convertir ce montant sans taux fourni, on ne peut produire qu’une estimation explicitée. L’ordre de grandeur suffit à comprendre l’intérêt criminel, même si le chiffre exact en euros dépend du taux du jour.
L’accès physique, le vrai sésame des opérations éclairs
La partie la plus troublante de l’alerte du FBI ne concerne pas une faille exotique, mais une réalité de terrain. Les attaquants s’appuient fréquemment sur l’accès physique pour déployer le malware. Le mode opératoire décrit repose sur des gestes concrets, rapides, parfois reproductibles d’un site à l’autre. Il peut s’agir d’ouvrir des panneaux avec des clés génériques largement disponibles, de retirer ou remplacer des disques infectés, ou encore de brancher des périphériques externes, comme une clé USB ou un clavier. Et parce que de nombreux distributeurs fonctionnent encore sous Windows, l’exécution d’un programme malveillant devient possible dès lors que la barrière physique tombe.
Le FBI cite aussi des indicateurs de compromission à surveiller, notamment la présence d’outils d’accès à distance non autorisés, comme AnyDesk ou TeamViewer, ainsi que des exécutables suspects déposés sur les systèmes de guichets. La leçon est nette. Une défense purement « cyber » ne tient pas si la porte, au sens littéral, s’ouvre trop facilement. La sécurité des distributeurs devient un hybride, où le contrôle d’accès, l’intégrité logicielle et la supervision doivent fonctionner ensemble, sinon l’assaillant choisit le chemin le plus simple.
Le texte relie cette dynamique à une structuration criminelle plus large. L’avertissement intervient après des inculpations annoncées par le ministère américain de la Justice, visant des dizaines de personnes liées à un dispositif coordonné contre des distributeurs de coopératives de crédit. D’après l’acte d’accusation cité, entre février 2024 et décembre 2025, au moins 5,4 millions de dollars auraient été volés dans 63 distributeurs, et 1,4 million de dollars supplémentaires auraient été bloqués lors de tentatives. Les enquêteurs décrivent des repérages préalables, des tests d’alarmes, puis des opérations de retrait frauduleux déclenchées au moment opportun. Un cas précis mentionne une caisse de crédit de Kearney, dans le Nebraska, qui aurait perdu près de 300 000 dollars.
Face à cette industrialisation, le FBI recommande de durcir à la fois le physique et le technique, avec surveillance du matériel, listes blanches de périphériques, chiffrement des disques et journalisation d’audit stricte. Une idée revient comme pivot, maintenir une « image de référence » vérifiée du logiciel des guichets, afin de repérer vite toute modification non autorisée, un réflexe de plus en plus central contre les campagnes de type Ploutus.
Dans cette bataille, le renseignement cyber se joue autant sur l’atelier des malwares que sur l’observation des routines, des repérages et des accès physiques qui rendent l’attaque possible.
