Banque Pratique : Les menaces pour l’e-banking

 L’estimation du nombre de fraudes et des montants impliqués fait l’objet d’un débat vif mais confus. Le mystère risque de durer longtemps.Car personne n’a intérêt à parler ouvertement de ce danger et donc à quantifier le montant des fraudes avérées. Les banques, les fournisseurs de sécurité Internet, même les organismes du secteur public participent tous à cette entente implicite pour éviter d’aborder le sujet….

 Après quelques doutes initiaux sur la sécurité, liés au vol de mots de passe par email (le fameux phishing), l’introduction rapide de l’identification forte «à double facteur» (token, smart cards, codes à usage unique) a permis un développement phénoménal des ordres bancaires passés par Internet. Depuis 2007 déjà, ont commencé à courir des rumeurs de fraudes e-banking bien plus sophistiquées et inquiétantes. Prenant pour cible de grosses banques retail, ces attaques auraient permis de vider certains comptes malgré l’utilisation des techniques plus évoluées d’identification forte. Cette technique nouvelle, baptisée Man-in-the-Middle (l’homme entre-deux) permet en effet de modifier les paiements saisis par les clients et donc de dévier les fonds vers un compte choisi par les pirates. La réalité du phénomène a été confirmée en 2008, en Suisse par l’organisme Melani, et de nombreuses banques ont même averti leur clientèle d’un potentiel danger. Paradoxalement les recommandations reçues avaient déjà alors une guerre de retard, ne protégeant en rien de ce nouveau type d’attaque….

PLUS DE RISQUE ET DE FRAUDE EN SUIVANT :

 L’estimation du nombre de fraudes et des montants impliqués fait l’objet sur Internet d’un débat très vif, mais fort confus et déroutant. Entre les milliards de dollars annuels indiqués par Silvertail au niveau mondial et les 57 millions d’euros révélés par Apacs en 2008 pour le seul Royaume Uni, comment évaluer le niveau de la menace en Suisse?

Le mystère risque de durer encore longtemps. Car personne n’a intérêt à parler ouvertement de ce danger et donc à quantifier le montant des fraudes avérées. Les banques, les fournisseurs de sécurité Internet, même les organismes du secteur public participent tous à cette entente implicite pour éviter d’aborder le sujet. La plupart en effet se bornent à réitérer les conseils de sécurité classiques: ne pas ouvrir de pièces jointes aux courriers électroniques d’utilisateurs inconnus, écrire directement l’adresse web de votre banque etc.

Mais voyons comment fonctionnent ces attaques Man-in-the-Middle pour évaluer le danger qu’elles représentent aujourd’hui.

Tout d’abord un groupe de hackers prend pour cible une banque particulière en ouvrant un compte et obtenant l’accès Internet Banking qui va avec. Devenant eux même utilisateurs du système ils ont donc la possibilité d’étudier en détail son fonctionnement. Ces hackers vont alors ajouter quelques lignes de programme, étudiées spécifiquement pour l’e-banking de la banque cible et qui vont, au moment de la confirmation d’un ordre de paiement, en changer le montant et surtout le compte bénéficiaire. C’est le virus lui-même. Il peut d’ailleurs être testé en toute tranquillité par les pirates depuis le confort de leur sofa, grâce à leur compte online légitime.

 Une fois le virus prêt, il faut alors l’introduire sur les ordinateurs des clients de la banque. C’est là le rôle de groupes spécialisés: fabricants et vendeurs de «chevaux de Troie». Facilement joignables sur Internet ces véritables entreprises de services vont s’occuper de composer le malware complet. Dans de nombreux cas c’est en exploitant une faille du système d’exploitation que l’infection de l’ordinateur peut avoir lieu, avec dépôt du programme Man-in-the-Middle prêt à s’activer. Mais depuis 2008 on observe un nombre croissant de «driveby infection», où les malwares sont contractés simplement en passant sur une page web absolument normale, sans même besoin d’ouvrir ou de télécharger volontairement un fichier. Par l’une ou l’autre voie ces mercenaires informatiques peuvent garantir l’infection de dizaines de milliers d’ordinateurs dans le monde en quelques semaines. Et dans la masse il y aura bien quelques dizaines de clients de la banque cible, infectés sans le savoir et convaincus que leur sécurité est garantie par les systèmes d’identification (token, calculette, etc.) mis en place par la banque. Le piège est donc installé, prêt à être déclenché.

Mais il manque encore un élément essentiel du dispositif: la récolte du butin. Car pour que les sommes détournées parviennent aux pirates elles doivent d’abord être convoyées vers le compte d’un complice, en Suisse ou ailleurs. C’est ce numéro de compte que le programme virus va utiliser et mettre à la place du compte du bénéficiaire saisi par le client dans le système e-banking. Pour passer tous les contrôles et garantir l’arrivée des fonds, il doit s’agir d’un vrai compte, au titulaire identifié.

Ceci oblige donc nos pirates à se tourner vers des complices ignares, inconscients de participer à une entreprise criminelle: les «money-mules». Internet encore une fois sera le véhicule de ce recrutement grâce à l’envoi de millions de mails (pour cela aussi il existe des pseudo-entreprises, spécialisées dans le «spamming») offrant une activité d’intermédiaire financier, rémunérée par d’alléchantes commissions. Ces offres d’emploi-piège semblent généralement parvenir de société sérieuses, joignables seulement par email et promettant de 10 à 20% de commissions sur les sommes transférées. Le travail des «mules» consiste ensuite à prélever les montants reçus sur leur compte personnel puis à les envoyer par une agence de transfert de fonds dans le pays et à la personne indiquée par la fausse entreprise.

Quant à la dernière étape, le retrait en comptant auprès de l’agence de transfert, les pirates sont cette fois dans leur pays et pour circonvenir les règles (présentation d’une pièce d’identité en particulier) il n’est plus question içi de technologie mais plutôt de complicités locales.

 Voilà donc un mécanisme plutôt complexe du point de vue technologique. Pourtant la technologie n’est pas l’obstacle principal: car ce qui limite aujourd’hui le volume des sommes détournées est seulement la difficulté de recruter suffisamment de «money-mules». Il faut savoir en effet que les naïfs qui mordent à l’hameçon ne recevront qu’un, ou au maximum deux, virements. Après un détournement réussi, les pirates vont en effet considérer cet intermédiaire comme identifié par la banque, potentiellement sous surveillance et donc à éviter dorénavant.

Selon les sociétés spécialisées dans la lutte contre les fraudes Internet, la grande majorité des attaques de ce type impliquent des serveurs situés aux Etats-Unis. Cependant ceci n’indique rien sur la nationalité des hackers, mais simplement qu’ils ont pris le contrôle de serveurs US insuffisamment protégés, exactement comme les gangsters utilisent des voitures volées pour un hold-up. En examinant les forums underground on se rend rapidement compte que les groupes organisés proviennent essentiellement des pays de l’Est européen, avec une forte dominance russe. En se basant sur les rares cas où des pirates ont été appréhendés on pourrait tenter d’en dresser le profil suivant: 25 à 35 ans, plutôt un bricoleur de l’informatique qu’un vrai professionnel, très actif dans les forums underground et à l’affut des innovations des vrais cracks, surtout absolument convaincu de son impunité. Bien sur ce profil ne concerne sans doute qu’une maigre partie des intervenants dans cette industrie souterraine: les plus jeunes et ingénus, pris parce qu’ils ont laissés leur photos de vacances sur les même serveurs utilisés pour les attaques… Mais parmi les criminels il faudrait aussi compter les money-mules, bien plus faciles à attraper. Du point de vue légal les contrats e-banking rédigés par les banques sont en général conçus pour laisser la responsabilité d’éventuelles fraudes au client. Dans le cas particulier du Manin-the-Middle c’est en effet l’ordinateur du client qui est infecté, suite à un comportement estimé négligent. Malheureusement il est impossible pour les clients de se protéger contre ce type d’attaque. Les anti-virus sont tristement inutiles, le site consulté est bien celui de la banque, les cartes, tokens et autres systèmes n’empêchent plus le vol d’identité. Les banques en sont parfaitement conscientes et ont adopté jusqu’à présent une politique non déclarée mais très raisonnable : rembourser intégralement tous les clients. Evidemment la banque pourrait ensuite se retourner vers les «mules», la seule pièce du système à portée du marteau des juges. A notre connaissance cela n’a pas été le cas jusqu’à présent. Ce sont donc les banques qui assument la pleine responsabilité financière de ces fraudes. Tant mieux puisqu’elles sont les seules à pouvoir mettre en place de nouvelles protections…

 Car des solutions existent pour contrer dès aujourd’hui les attaques Man-in-the-Middle. La plus simple est en fait déjà disponible dans la plupart des systèmes e-banking: il s’agit du principe des 4-yeux. Dès lors qu’un ordre de paiement est saisi par une personne et confirmée par une autre, l’éventuelle altération de la transaction peut être, d’un point de vue technique, facilement détectée. Donc, si vous êtes inquiets, prenez la saine habitude d’effectuer vos paiements en deux étapes: saisie de l’ordre avec un premier utilisateur, puis confirmation avec un second utilisateur.Si votre conjoint vous confie son mot de passe, vous pouvez, en fait, le faire tout seul…

La deuxième solution n’est proposée encore que par peu de banques, celles qui ont choisi il y a quelques années de remplacer les tokens par le téléphone portable: lors du login l’utilisateur reçoit un code unique par texto, à saisir à l’écran dans la minute pour accéder au service. Le même principe peut être appliqué au moment de la confirmation d’un paiement sur Internet: réception par texto d’un code numérique à insérer pour valider la transaction. En plus du code nécessaire pour débloquer l’ordre, le texto contient aussi la description complète de cet ordre: montant, devise, banque et compte crédité. En cas de Man-inthe-Middle le client évite donc de confirmer une transaction frauduleuse mais il sait, en plus, que son ordinateur est infecté.

 La troisième solution pour la banque est de souscrire un service professionnel dédié, comme par exemple RSA eFraudNetwork, qui va, à chaque ordre Internet en vérifier la provenance, la plausibilité statistique, l’utilisation de comptes «mules» déjà connus. Toute une série de contrôles qui sont en fait très similaires à ceux mis en place pour les paiements par carte de crédit. Ces services ont aujourd’hui une efficacité vérifiable, avec la capacité de bloquer plus de 90% des tentatives de vol en ligne.

Pour la sécurité de votre compte en ligne, choisissez donc votre banque avec attention. Vérifiez si vous pouvez obtenir deux utilisateurs pour appliquer le principe des 4-yeux. Si la banque permet la confirmation par texto, demandez en l’activation même pour de faibles montants. Essayez enfin de savoir si votre banque a souscrit un service anti-fraude professionnel. En obtenant des réponses sur ces points, vous pourrez tester la sensibilité de la banque sur ces questions qui concerne directement la sécurité de votre argent. Une banque qui a, dès aujourd’hui agi dans ce sens, restera demain encore capable de contrer les prochaines menaces. Qui sans le moindre doute ne tarderont pas à arriver.

 Christian Marchand Banking division, ISYS aout10