GAB Windows : la faille de sécurité qui vide les distributeurs

Un GAB qui plante et affiche l’écran de verrouillage de Windows. Devant tout le monde. Ce n’est pas un bug rare — c’est le quotidien de milliers de distributeurs à travers le monde. Et ce que cette image révèle est bien plus inquiétant qu’un simple crash logiciel.

Derrière l’acier et l’écran lumineux, votre GAB est un PC Windows avec un tiroir à billets. Un PC qui, dans bien des cas, tourne sur un système d’exploitation que Microsoft ne protège plus.

---

1. Votre argent dort sur Windows

Depuis les années 1990, l’industrie des distributeurs automatiques a fait un choix pragmatique : Windows. Pourquoi réinventer la roue quand un OS grand public permet de faire tourner des logiciels de caisse, des écrans tactiles et des modules de sécurité ?

Le problème, c’est que ce choix a créé une dépendance de plusieurs décennies. En 2014, quand Microsoft a arrêté le support de Windows XP, 95% des 2,2 millions de GAB dans le monde tournaient encore dessus. Les banques ont dû payer des extensions de support à Microsoft — parfois plusieurs millions de dollars — pour continuer à patcher leurs machines.

Tableau : L’évolution des OS dans les GAB

Période	OS dominant	Statut support	Parc mondial estimé
2001-2014	Windows XP	Support arrêté avril 2014	95% des GAB en 2014
2014-2020	Windows 7	Support arrêté janv. 2020	~60% migré en 2016
2016-2026	Windows 10 IoT 2016 LTSB	Fin support : 13 oct. 2026	Standard actuel
2025-2034	Windows 11 IoT LTSC 2024	Support jusqu’en 2034	Migration en cours

Aujourd’hui, le standard de l’industrie est Windows 10 IoT Enterprise 2016 LTSB (Long-Term Servicing Branch). Une version stable, sans mises à jour intempestives, idéale pour des machines qui doivent tourner 24h/24 sans redémarrer. Sauf que Microsoft arrête son support le 13 octobre 2026. Dans à peine 4 mois.

---

2. La course contre la montre d’octobre 2026

La fin de support de Windows 10 IoT 2016 LTSB, c’est l’équivalent de la fin de XP en 2014, mais en pire.

Pourquoi ? Parce que :

Remplacer un GAB coûte cher : Un distributeur automatique bancaire full-service (NCR SelfServ, Diebold DN Series) coûte entre $20,000 et $55,000. Ajoutez l’installation, le génie civil, le software licensing, et vous frôlez les $60,000 par machine.

Les petites banques n’ont pas les moyens : Une banque communautaire avec 15 GAB, c’est près d’un million de dollars à sortir pour renouveler son parc.

Les mises à jour logicielles ne suffisent pas : Beaucoup de GAB sous Windows 10 IoT 2016 LTSB ne peuvent pas passer à Windows 11 sans changer le hardware. Le processeur, la RAM, le TPM 2.0 — tout doit être compatible.

Microsoft propose des Extended Security Updates (ESU) payants pour prolonger la vie de ces systèmes, mais c’est une rustine temporaire. La vraie solution, c’est la migration.

“Les banques qui attendent le dernier moment pour migrer leurs GAB répètent l’erreur de 2014 — mais cette fois, les attaquants sont mieux préparés.” — FBI FLASH Advisory, février 2026

---

3. Ploutus : le malware qui vide les GAB sans carte bancaire

Parlons du vrai problème. Pendant que les banques tergiversent sur les budgets de migration, les cybercriminels, eux, agissent.

Ploutus est une famille de malwares spécialisée dans le “jackpotting” — l’art de forcer un GAB à cracher tout son contenu sans transaction légitime.

Comment ça marche ?

1. Clé générique — Les serrures des GAB sont standardisées. Un attaquant achète une clé universelle en ligne pour ouvrir le capot.

2. Accès au disque dur — Une fois le capot ouvert, le disque dur du GAB est retiré ou un périphérique USB est branché.

3. Installation du malware — Ploutus est copié sur le système, ou le disque est remplacé par un disque pré-infecté. Le malware s’installe comme un service Windows (DIEBOLDP, ATM Service) et modifie la base de registre pour survivre aux redémarrages.

4. Exploitation de la couche XFS — Les GAB utilisent une couche logicielle appelée XFS (eXtensions for Financial Services) qui fait le pont entre Windows et le matériel (distributeur de billets, lecteur de carte, pavé numérique). Ploutus parle directement à XFS, en contournant l’application bancaire. Pas besoin d’autorisation, pas besoin de carte.

5. Le GAB crache l’argent — En quelques minutes, le distributeur vide ses cassettes. Jusqu’à $200,000 par machine. L’opération complète prend moins de 10 minutes.

Les chiffres qui font froid dans le dos

Le FBI a publié un FLASH alert le 19 février 2026 :

+700 attaques jackpotting recensées en 2025 (contre ~1,900 depuis 2020)

+$20 millions de pertes en 2025

Ploutus-D est la variante dominante, capable de s’adapter à n’importe quel constructeur (NCR, Diebold, Hyosung) avec des modifications minimales

Les attaques sont menées par des groupes criminels organisés, dont le gang Tren de Aragua (TdA)

Indicateurs de compromission (IoC) listés par le FBI :

Fichier suspect	Chemin typique	Comportement
Newage.exe	C:\Users\SSAuto1\AppData\Local\P	Exécutable jackpotting
NCRApp.exe	Mimique le logiciel NCR	Injection XFS
WinMonitor.exe	Cache son vrai rôle	Service persistant
sdelete.exe	Effacement de traces	Nettoyage forensique

Événements Windows à surveiller :

Event ID	Signification
6416	Périphérique USB branché
4663	Écriture de fichier suspect
4688	Création de processus
7045	Installation de service
1102	Logs système effacés

---

4. PCI DSS : l’angle conformité qui coûte cher

Un OS non supporté, ce n’est pas juste un risque technique — c’est une violation directe des normes PCI DSS (Payment Card Industry Data Security Standard). La section 4.2 des PCI SSC ATM Security Guidelines est claire : tout composant logiciel du GAB (OS, middleware XFS, application bancaire) doit être maintenu et patché.

Les conséquences pour une banque non conforme :

Amendes PCI DSS : jusqu’à $100,000 par mois pour les petites institutions

Risque de perdre l’agrément de traitement des paiements

Frais de remédiation imposés par les réseaux de cartes (Visa, Mastercard)

Atteinte à la réputation : difficile à chiffrer, mais dévastatrice pour une banque locale

Les GAB sous Windows XP ou Windows 7 (encore nombreux dans les petites banques communautaires) sont automatiquement non-conformes PCI DSS. Même air-gapped (déconnectés du réseau), un technicien avec une clé USB suffit à compromettre la machine.

---

5. Et au Maroc ?

Le Maroc compte plus de 5,000 GAB répartis sur tout le territoire, gérés principalement par les grandes banques (Attijariwafa, BMCE, BCP, CIH, SGMB) et quelques opérateurs indépendants.

La situation préoccupe :

Les GAB marocains utilisent majoritairement Windows 10 IoT, mais une partie du parc vieillissant tourne encore sous Windows 7

Le coût de remplacement est prohibitif : comptez entre 200,000 et 500,000 MAD par GAB selon le modèle

La migration vers Windows 11 IoT a commencé mais reste partielle

Peu de banques marocaines communiquent sur leur stratégie de sécurisation face au jackpotting

Le vrai risque pour le Maroc, c’est que les attaquants ciblent d’abord les maillons faibles. Si les banques européennes et américaines migrent massivement vers Windows 11, les criminels se tourneront vers les parcs de GAB moins protégés — et le Maroc est un candidat naturel.

---

6. Que faire pour protéger vos GAB ?

Si vous gérez un parc de GAB — ou si vous êtes simplement responsable IT dans une institution financière — voici les actions prioritaires à mener avant octobre 2026 :

Court terme (urgence)

1. Auditez votre parc — Combien de GAB tournent sur un OS en fin de vie ? Documentez chaque machine.
2. Activez le logging Windows — Event IDs 6416, 4663, 4688, 7045, 1102. Forwardez les logs vers un SIEM centralisé (les logs locaux sont effaçables par le malware).
3. Bloquez les ports USB — Désactivez physiquement ou logiciellement tous les ports USB non essentiels.
4. Changez les serrures — Remplacez les clés génériques par des serrures non-standard.

Moyen terme (2026-2027)

5. Migrez vers Windows 11 IoT LTSC 2024 — Support garanti jusqu’en 2034. Une seule migration pour 8 ans.


6. Déployez un EDR (Endpoint Detection & Response) compatible ATM — Solutions spécialisées (AppGuard, Diebold Agilis, NCR APTRA).


7. Implémentez le whitelisting applicatif — Seuls les exécutables signés peuvent tourner sur le GAB.


8. Cryptez les disques — BitLocker ou équivalent pour empêcher l’extraction des données.

Long terme (2027+)

9. Envisagez l’outsourcing — Les modèles “ATM as a Service” transfèrent la responsabilité de la sécurité et des mises à jour au fournisseur.


10. Formez les équipes — Les techniciens de maintenance doivent savoir détecter les signes de jackpotting (clés modifiées, caches ouvertes, câbles USB suspects).

---

Le GAB ne ment pas

Un GAB qui affiche Windows, ce n’est pas un bug. C’est un rappel que la sécurité de votre argent repose sur un PC Windows enfermé dans une boîte en acier. Un PC qui, dans 4 mois, pourrait perdre ses dernières protections.

Les banques qui agissent maintenant éviteront la panique d’octobre. Celles qui attendent offriront une cible de choix aux criminels.

Votre infrastructure IT est-elle prête pour octobre 2026 ? Chez Izri.Online, nous aidons les entreprises marocaines à auditer et sécuriser leurs systèmes avant les échéances critiques.

→ Diagnostiquez votre sécurité IT gratuitement

---

Sources et références

FBI FLASH Alert (FLASH-20260219-001), février 2026 — Ploutus ATM Jackpotting Surge

Microsoft Windows IoT Enterprise lifecycle — learn.microsoft.com

PCI SSC ATM Security Guidelines, Section 4.2 — Security of Basic Software

VISA Payment Fraud Disruption — ATM Jackpotting Malware Analysis

CNN Money, mars 2014 — 95% of ATMs run Windows XP

BleepingComputer, février 2026 — FBI: Over $20 million stolen in ATM jackpotting attacks

ATM Marketplace / ATMIA — Windows CE to Windows 10 migration reports

---

Catégorie : Cybersécurité Tags : GAB, ATM, Windows, sécurité, jackpotting, Ploutus, PCI DSS, cybersécurité, banques, Maroc, malware