Sécurité informatique : les nouvelles menaces

La sécurité informatique évolue sans cesse, et plus encore celle des infrastructures bancaires. Non contentes de devoir surveiller leurs systèmes d’information internes et de se prémunir contre les cas de fraude, les banques doivent également se protéger des menaces attaquant leurs clients, tant particuliers que professionnels. Voici un panorama des risques à surveiller particulièrement d’ici à décembre 2012.

Nicolas Brulez, Senior malware researcher, Kaspersky Labs

L'auteur

Pour en savoir plus

images
  • Guy de Felcourt, directeur général, CCP France

    Guy de Felcourt, directeur général, CCP France

  • Jean-Marc Bornet, administrateur GIE Cartes bancaires

    Jean-Marc Bornet, administrateur GIE Cartes bancaires

  • Thomas Frenehard, chef de produit, Enablon

    Thomas Frenehard, chef de produit, Enablon

  • Guillaume Lovet, expert en cyber-criminalité, Fortinet

    Guillaume Lovet, expert en cyber-criminalité, Fortinet

Revue de l'article

Cet article est extrait de
Revue Banque n°737

Liquidité : les grandes manoeuvres

Les virus sur téléphones mobiles

Pour Guillaume Lovet, expert en cybercriminalité de Fortinet, l’un des points à surveiller avec attention est le virus Zitmo. C’est un module complémentaire du virus Zeus qui intercepte les identifiants bancaires sur les ordinateurs des usagers. « À la différence de Zeus, Zitmo affecte le téléphone portable de la victime et intercepte les codes OTP [One Time Password – mot de passe aléatoire, NDLR] envoyés par SMS, explique Guillaume Lovet. Quand l’ordinateur d’une personne est infecté par Zeus, le virus ajoute une surcouche pour le site de banque en ligne redemandant d’installer un certificat d’authentification sur téléphone mobile et demande alors à l’internaute son numéro de téléphone et son modèle. Celui-ci reçoit alors un SMS semblant venir de sa banque avec un lien vers le certificat à installer [en fait, le virus Zitmo lui-même, NDLR]. » Ce système permet aux cybercriminels de contrôler toute la chaîne. Zeus tourne sous Windows, Zitmo a été repéré jusqu’à présent sous Symbian et Blackberry. « Pour l’instant, nous avons eu quelques cas réels, un en Pologne et un en Espagne. La problématique pour les banques est complexe. Elles sont rarement visées directement : ce sont soit leurs clients, soit des tiers qui sont attaqués. Il suffit qu’un élément de la chaîne soit compromis pour que la transaction entière soit compromise. » Guillaume Lovet reconnaît que la position des banques est difficile, car la sensibilisation et la protection des clients ne doivent pas se mettre en travers de la facilité d’utilisation des services.

Les risques réglementaires

Dans un monde où les réglementations sont multipliées et évoluent constamment (par exemple Bâle ​I, II et bientôt III), pour Thomas Frénéhard, chef de produit chez l’éditeur Enablon, « la première menace est majoritairement le risque réglementaire. Ne pas arriver à être en conformité avec les différentes réglementations nationales et internationales. L’objectif final des systèmes d’information des banques est d’avoir une vue complète sur la société, alors qu’il y a de plus en plus de réglementations qui arrivent en parallèle et que certaines évoluent en fonction du temps et de l’actualité. Il faut faire une veille des réglementations et voir les synergies existant entre elles. » Si la solution est selon lui d’utiliser un logiciel de mise en conformité tel que ceux vendus par sa société, il ne faut pas s’arrêter là. « Le plus gros risque, quand on prend un logiciel de mise en conformité, est de croire qu’il suffit de l’installer pour être protégé. Il faut mettre à jour le logiciel, mais également les données saisies dedans », prévient-il. Ne serait-ce que pour s’assurer qu’il reflète toujours parfaitement l’état de la société surveillée.

Les fraudes autour des distributeurs de billets

Si la fraude en ligne reste le principal problème lié à l’usage des cartes bancaires, il ne faut pas non plus négliger la fraude autour des DAB. En ​2010, celle-ci a connu une recrudescence en Europe, avec une augmentation de 8 % des cas relevés durant la première moitié de l’année (en comparaison à la même période pour ​2009) selon l’EAST (European ATM Crime Report). « La fraude que l’on voit le plus souvent, ce sont des faux claviers, des fausses façades ou l’intégration de caméra », ​constate Laurent Houitte, directeur· marketing de Wincor Nixdorf. « Il y a aussi de fausses trappes à billets qui donnent l’impression que l’argent n’est pas sorti. » Pour lutter contre ces additions malvenues, il existe plusieurs solutions : des composants mécaniques ou électroniques pour lutter contre la pose de [1] ou l’intégration au niveau du DAB de caméras qui détectent automatiquement tout changement apporté à la façade et les rapportent en temps réel au poste de contrôle. Des précautions qui ne doivent pas être négligées : en 2009, selon Ponemon, le skimming a occasionné 8 millions d’euros de dégâts, rien qu’en France.

Les chevaux de Troie dédiés

Comme les autres malwares, les chevaux de Troie sont de plus en plus ciblés et intelligents, rendant les protections traditionnelles obsolètes. Ainsi, « pour la plupart des gens, l’utilisation d’un clavier virtuel fourni par les banques est sécurisée. Or il existe des chevaux de Troie bancaires (voir encadré) qui font des captures d’écran à chaque fois que l’utilisateur clique sur une touche de clavier, permettant au pirate de voir votre code comme s’il était derrière vous », explique Nicolas Brulez, senior malware researcher chez Kaspersky Labs. « Certaines banques proposent des claviers où il ne faut pas cliquer, mais laisser le curseur sur les touches. Les malwares s’adaptent en faisant alors une capture vidéo. Certains chevaux vont contourner l’obstacle et fermer l’outil de protection fourni par les banques. » Des codes malveillants de ce type ont ainsi été vus en Espagne et au Brésil.

La protection des données financières

Pour Jean-Marc Bornet, administrateur du GIE Cartes Bancaires, « notre souci du jour, c’est la protection des données. Si vous prenez n’importe quelle entreprise, pour protéger les données, il suffit de protéger le système d’information. Dans un système de paiement décentré, les données, c'est-à-dire l’identification des clients, s’échangent. En volant des données, les fraudeurs peuvent fabriquer des cartes pour les pays n’utilisant pas EMV et pour la vente à distance. Pour protéger la vente sur Internet, nous voulons systématiser l’authentification forte pour les achats, notamment avec 3DSecure. Les banques émettrices ont le choix de la méthode. La Banque de France et nous exigeons une authentification forte : soit celle duSMS, soit celle d’un lecteur de carte à puce générant des mots de passe aléatoires. Les générateurs seuls sont moins sûrs, car on n’introduit pas de données de la transaction dans la génération du mot de passe. Ce système est mis à 95 % côté porteur, mais seulement 48,6 % des commerçants y ont adhéré, et cela ne concerne que 10,25 % des transactions. » L’autre versant de la protection des données concerne l’adoption des normes PCI ( [2]), notamment celles destinées à protéger les fichiers chez les commerçants. « Ce sont des normes que nous endossons complètement, même si c’est très américain d’inspiration. Tout le monde travaille actuellement sur le sujet car il y a eu quelques affaires récentes de vol de données (Cards Systems, Ralph Lauren ou plus récemment le PSN) et d’autres affaires passées sous silence notamment en Europe et en France. Il y a des intrusions dans les systèmes partout. Quand nous en avons la preuve, nous mettons en place un système de surveillance pour les numéros de cartes bancaires compromis, nous faisons aussi des analyses rétroactives pour remonter les fraudes avant même que le criminel ne puisse utiliser la carte. Nous préférons mettre en opposition la carte avant même que le porteur ne s’aperçoive du problème. La fraude sur Internet représente les trois quarts de la fraude en paiement dans le système CB en 2010.»

La fraude interne

Si les accès externes aux systèmes d’information bancaires sont souvent mis en avant, il ne faut pas négliger les problèmes internes. Loic Guézo, responsable Sécurité informatique chez IBM France, le rappelle : « Les attaques sur l’infrastructure, les accès internes mal contrôlés sont amplifiés par le métier de la banque. On voit encore les conséquences de l’affaire Kerviel. Les banques ont l’outillage (logiciels de gestion des identités et de contrôle des accès) et les processus pour lutter contre ce type de fraude, il reste encore des failles. Il faut aussi avoir une réactivité plus grande pour supprimer un accès dans les heures, voire les minutes qui suivent un licenciement ou un changement de poste au sein du personnel. »

Les mules bancaires

Une fois le vol de données effectué, l’affaire ne s’arrête pas là. Pour blanchir leur argent, les cybercriminels le font transiter par différents comptes bancaires ou autres méthodes de transfert (Western Union, MoneyGram, Paypal, etc.) en utilisant des « mules ». Similaires aux passeurs de drogues – volontaires ou non –, ces mules sont des intermédiaires chargés de faire transiter l’argent sur leur compte en prélevant au passage une commission. « Aujourd’hui, nous assistons à un essor des mules bancaires. En quatre ans, les fraudes sur les données d’identification sont passées de 25 % à 60 % des fraudes liées à la carte bancaire, et dans le même temps, nous observons beaucoup d’annonces de recrutement de mules », constate Guy de Felcourt, directeur général de CCP France. « Pour participer, les candidats doivent envoyer leur nom, prénom, e-mail et coordonnées bancaires. Au Royaume-Uni, 1 400 nouvelles annonces sont détectées par mois. Avec les mules, les fraudeurs multiplient la circulation de l’argent et profitent de la multiplication des établissements de paiement et de la globalisation des échanges pour brouiller les pistes. Avant, en demandant l’existence d’un mandat papier pour faire un prélèvement, le système français était protégé par son archaïsme. Un des problèmes qui va se poser avec le Sepa et que dans de nombreux pays d’Europe, il est difficile de prouver l’identité des gens en l’absence de véritable carte d’identité. Face à cela, il faut mettre en place des mesures de fonds (systèmes expert anti-fraude, mais également vérification de cohérence, ou revalider avec le client par un autre biais : appel sur son téléphone, envoi d’un code par SMS pour les petits montants). Je crois que les banques françaises sous-estiment ce problème de mule qui va prendre de l’ampleur et sera peut-être moins tabou. De plus, la Directive européenne sur les services de paiement qui dit que les clients sont responsables en cas de négligence sur la sécurité permettrait peut-être de responsabiliser un peu plus le consommateur. »

[1] Petit appareil électronique installé sur les DAB pour pirater les données des cartes bancaires.

[2] Une vidéo pour mémoriser en musique les 12 obligations liées à PCI DSS http://www.youtube.com/watch?v=xpfCr4By71U

 

Articles du(des) même(s) auteur(s)

Sur le même sujet