Sécurité eBanking : la vigilance est de mise

L'appât du gain facile et surtout la quasi-impossibilité d'être tracé ont attiré l'attention d'organisations criminelles bien plus redoutables que l'adolescent exerçant son hobby les dimanches après-midi pluvieux. Non pas que l'adolescent ne s'adonne plus à son passe-temps favori, mais il ne se contente plus que de produire les outils nécessaires à la fraude. Il laisse à d'autres, moyennant finances, le loisir de les utiliser.

L'association de plusieurs techniques à la disposition de criminels aux moyens conséquents rend ces attaques de plus en plus efficaces. On trouve d'un côté les spammeurs professionnels, disposant de listes de plusieurs millions d'adresses emails, tout disposés à les vendre au plus offrant. D'un autre, les hackers développant les logiciels nécessaires à l'exploitation des faiblesses techniques des systèmes web, trop heureux de pouvoir rentabiliser un hobby passionnant.

Enfin, au centre, les organisations criminelles, capables d'acheter à la fois les listes d'adresses cible et les logiciels malicieux, mais surtout disposant de la logistique nécessaire à l'association explosive des deux ingrédients de ce nouveau type d'attaque. Une fois les deux composantes en leur possession, l'objectif est d'infecter un nombre suffisamment important de PCs avec le logiciel espion pour s'assurer qu'une partie appartiendra immanquablement à des utilisateurs du site e-banking visé. Contrairement aux attaques par phishing classiques, les dernières attaques observées ne nécessitent plus de demander à l'utilisateur de se connecter à un site factice afin de valider ses login et mot de passe. Le logiciel espion, communément appelé trojan (cheval de Troie) et sommeillant sur le PC du client, permet d'intercepter ces informations lorsque l'utilisateur se connecte réellement au site de sa banque.

Certaines versions sont même capables de simuler une erreur de connexion au login afin de forcer l'utilisateur à une saisie répétée de ses codes d'accès. Cette manigance permet, par exemple, de contourner la sécurité des code-cards fréquemment utilisées par les banques Luxembourgeoises. Une fois les codes de connexion du client dans les mains du criminel, on imagine assez facilement la suite du mode opératoire. Contrer ces nouvelles attaques devient délicat, car elles sont basées sur deux choses sur lesquelles les banques n'ont quasiment aucun contrôle : l'utilisateur et son PC. Dans le premier cas, l’attaquant utilise la bonne foi de l’utilisateur afin de récupérer ses codes par l’intermédiaire d’un site e-banking factice, ce que l’on appelle communément une attaque par phishing.

Dans le cas des dernières attaques par contre, c’est le PC du client qui est infecté avec un logiciel espion destiné à récupérer les codes à l’insu même du client. Le cas du phishing est relativement bien maîtrisé aujourd’hui, en particulier par l’utilisation de codes à utilisation unique. Mais les banques disposent également de systèmes de veille permanente qui scrutent le Web jour et nuit afin de détecter l’apparition de sites web factices destinés au phishing. Des dispositifs de suppression de ces sites sont en place grâce à la collaboration des ISP. Enfin, les programmes de sensibilisation des utilisateurs commencent à porter leurs fruits.

Les internautes deviennent méfiants lorsqu’ils reçoivent de supposées demandes de changement de mot de passe de la part de leur banque et n’hésitent plus à contacter le helpdesk en cas de doute, devenant ainsi un des maillons de la veille. Le maillon le plus faible de la chaîne aujourd’hui reste la sécurité du PC du client. Au vu des dernières attaques, les hackers l’ont bien compris. Certaines banques proposent d’ores et déjà à leurs clients un antivirus et un firewall personnel, mais ne peuvent que suggérer leur installation, et non la forcer. Heureusement, les éditeurs de systèmes d’exploitation et navigateurs Internet ont, peu à peu, pris conscience de leur part de responsabilité de la situation. Les nouvelles versions de ces logiciels sont mieux pensées en termes de sécurité et devraient peu à peu permettre de limiter les attaques sur le poste client, ou du moins de les rendre beaucoup plus compliquées à exécuter. Néanmoins, la responsabilité finale de la sécurité des applications eBanking appartiendra toujours… aux banques.

Laurent Mellinger,
Chief Technology Officer.

Secaron Sàrl,
12, route du Vin,
L-6794 Grevenmacher
Tél: + 352.267469-30
Fax: + 352.267469-32
www.secaron.lu
http://my.secaron.lu

Source de l'article : Google News / Alerte Google Actualités : sécurité pc et internet et AGEFI (LU)

http://www.agefi.lu/mensuel/Article.asp?NumArticle=8861