S'il est un sujet qui n'a pas connu en 2012 une actualité palpitante par l'innovation qui y a régné, c'est bien la sécurité de la banque à distance. Certes, de nouvelles solutions ont vu le jour, mais sont-elles arrivées au sein des sites web et applications mobiles que nous utilisons tous les jours ? Je n'en ai pas l'impression...
En revanche, du côté des menaces, il n'y a pas eu de repos et les techniques des pirates et autres fraudeurs se sont encore perfectionnées. En parallèle, de récentes enquêtes réalisées auprès des consommateurs ont de quoi susciter de nouvelles inquiétudes. Voilà deux bonnes raisons, que je vais illustrer par l'exemple, pour sonner l'alarme et suggérer aux institutions financières de redoubler d'efforts avant une catastrophe qui semble imminente.
Commençons par les nouvelles du front. Alors que les banques européennes ont désormais largement généralisé le recours à un mot de passe à usage unique ("OTP"), envoyé par SMS, pour valider les transactions "sensibles" sur leurs sites web, les attaques sur cette technologie sont en voie d'industrialisation. Depuis la première du genre, détectée il y a plus de 2 ans, les évolutions se sont suivies pour aboutir, au cours de l'été dernier, à la campagne Eurograbber, qui a permis à ses auteurs de détourner 36 millions d'euros, issus de 30 000 comptes, dans une trentaine d'établissements.
Le mode opératoire de ces logiciels malveillants n'a pourtant pas changé : les pirates introduisent un programme sur le PC de la victime, modifiant discrètement le comportement des services de banque en ligne. Lorsque l'utilisateur accède à ces derniers, il lui est demandé de fournir des informations à propos de son téléphone mobile, à des fins supposées de sécurité. En réalité, elles sont exploitées pour lui faire installer un petit utilitaire qui va simplement détourner les SMS envoyés par sa banque et donner ainsi aux malfaiteurs le contrôle total de ses comptes.
En résumé, pour les escrocs, il n'aura fallu que deux ans pour passer d'un concept expérimental à un modèle "rentable" (qui, d'ailleurs, pourrait aussi être décliné pour attaquer le protocole 3-D Secure du commerce en ligne). Il n'en faudra probablement pas autant pour qu'il devienne universel. Il est donc urgent pour les banques de ne plus considérer que le code envoyé par SMS est inviolable et de développer de nouvelles protections sur leurs systèmes.
L'impératif est d'autant plus critique que, dans le même temps, les consommateurs ont tendance à baisser les bras face aux risques qu'ils encourent et à se reposer entièrement sur leurs institutions financières pour sécuriser leurs actifs, même s'il ne s'agit que de compenser les pertes qu'ils subissent. C'est en tous cas ce qui ressort d'une enquête réalisée par l'éditeur de logiciels de sécurité Kaspersky Lab au Royaume-Uni (et rien ne permet de supposer que les résultats seraient sensiblement différents en France).
Concrètement, moins de la moitié (45%) des 2000 adultes interrogés a pris l'initiative d'installer un logiciel de sécurité avant d'utiliser des services de banque en ligne. Au total, 4 personnes sur 5 comptent principalement ou exclusivement sur les mesures prises par leur établissement pour protéger leurs comptes. Quelle raison à cette désaffection ? Selon les auteurs de l'étude, les consommateurs sont tellement convaincus (notamment par les fictions TV et le cinéma) qu'il est impossible de faire reculer un hacker déterminé qu'ils jugent inutiles de se préoccuper eux-mêmes de la sécurité.
Conclusion, les banques vont devoir prendre le taureau par les cornes. Tout d'abord, il leur faut poursuivre et accroître leurs efforts de sensibilisation et d'éducation des consommateurs, car il serait extrêmement dangereux de laisser la dérive se poursuivre. Simultanément, il faut aussi prendre conscience des limites de cet exercice pédagogique et mettre en place les dispositifs qui vont pallier aux déficiences des clients.
La sécurité est une course permanente, qui ne peut se satisfaire de la moindre pause et requiert constamment des ajustements et des innovations pour rester pertinente.
En revanche, du côté des menaces, il n'y a pas eu de repos et les techniques des pirates et autres fraudeurs se sont encore perfectionnées. En parallèle, de récentes enquêtes réalisées auprès des consommateurs ont de quoi susciter de nouvelles inquiétudes. Voilà deux bonnes raisons, que je vais illustrer par l'exemple, pour sonner l'alarme et suggérer aux institutions financières de redoubler d'efforts avant une catastrophe qui semble imminente.
Commençons par les nouvelles du front. Alors que les banques européennes ont désormais largement généralisé le recours à un mot de passe à usage unique ("OTP"), envoyé par SMS, pour valider les transactions "sensibles" sur leurs sites web, les attaques sur cette technologie sont en voie d'industrialisation. Depuis la première du genre, détectée il y a plus de 2 ans, les évolutions se sont suivies pour aboutir, au cours de l'été dernier, à la campagne Eurograbber, qui a permis à ses auteurs de détourner 36 millions d'euros, issus de 30 000 comptes, dans une trentaine d'établissements.
Le mode opératoire de ces logiciels malveillants n'a pourtant pas changé : les pirates introduisent un programme sur le PC de la victime, modifiant discrètement le comportement des services de banque en ligne. Lorsque l'utilisateur accède à ces derniers, il lui est demandé de fournir des informations à propos de son téléphone mobile, à des fins supposées de sécurité. En réalité, elles sont exploitées pour lui faire installer un petit utilitaire qui va simplement détourner les SMS envoyés par sa banque et donner ainsi aux malfaiteurs le contrôle total de ses comptes.
En résumé, pour les escrocs, il n'aura fallu que deux ans pour passer d'un concept expérimental à un modèle "rentable" (qui, d'ailleurs, pourrait aussi être décliné pour attaquer le protocole 3-D Secure du commerce en ligne). Il n'en faudra probablement pas autant pour qu'il devienne universel. Il est donc urgent pour les banques de ne plus considérer que le code envoyé par SMS est inviolable et de développer de nouvelles protections sur leurs systèmes.
L'impératif est d'autant plus critique que, dans le même temps, les consommateurs ont tendance à baisser les bras face aux risques qu'ils encourent et à se reposer entièrement sur leurs institutions financières pour sécuriser leurs actifs, même s'il ne s'agit que de compenser les pertes qu'ils subissent. C'est en tous cas ce qui ressort d'une enquête réalisée par l'éditeur de logiciels de sécurité Kaspersky Lab au Royaume-Uni (et rien ne permet de supposer que les résultats seraient sensiblement différents en France).
Concrètement, moins de la moitié (45%) des 2000 adultes interrogés a pris l'initiative d'installer un logiciel de sécurité avant d'utiliser des services de banque en ligne. Au total, 4 personnes sur 5 comptent principalement ou exclusivement sur les mesures prises par leur établissement pour protéger leurs comptes. Quelle raison à cette désaffection ? Selon les auteurs de l'étude, les consommateurs sont tellement convaincus (notamment par les fictions TV et le cinéma) qu'il est impossible de faire reculer un hacker déterminé qu'ils jugent inutiles de se préoccuper eux-mêmes de la sécurité.
Conclusion, les banques vont devoir prendre le taureau par les cornes. Tout d'abord, il leur faut poursuivre et accroître leurs efforts de sensibilisation et d'éducation des consommateurs, car il serait extrêmement dangereux de laisser la dérive se poursuivre. Simultanément, il faut aussi prendre conscience des limites de cet exercice pédagogique et mettre en place les dispositifs qui vont pallier aux déficiences des clients.
La sécurité est une course permanente, qui ne peut se satisfaire de la moindre pause et requiert constamment des ajustements et des innovations pour rester pertinente.
Aucun commentaire:
Enregistrer un commentaire
Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)