Tandis que les banques et les opérateurs de télécommunication commencent tout juste à déployer des parades contre la fraude par appel de faux conseillers, les criminels redoublent d'imagination afin de contourner ces protections, comme le montre une analyse du logiciel malveillant FakeCall par les chercheurs de Zimperium.
Une vision optimiste consiste à considérer que les dernières évolutions enregistrées tendent à démontrer l'efficacité de l'arsenal défensif déployé jusqu'à maintenant, ou en cours de déploiement. Celui-ci, qu'il passe, entre autres, par l'authentification à la source des numéros appelants ou par une confirmation explicite de la légitimité du correspondant (cf. le cas de Sumeria), est peut-être suffisamment dissuasif pour imposer un surcroît de sophistication qui nuit à l'universalité des modes d'attaque.
En effet, la riposte envisagée requiert l'installation préalable d'un logiciel hostile, dont on peut donc espérer qu'il n'atteindra jamais une audience aussi massive que la population des abonnés téléphoniques, bien que les moyens mis en œuvre pour sa propagation soient eux aussi créatifs. En revanche, ses victimes n'auront quasiment aucune chance d'échapper aux mailles du filet dans lequel elles seront tombées, tout étant fait pour leur procurer une impression de vraisemblance proche de la perfection.
Le premier composant désormais intégré dans FakeCall, plus précisément en complément de ses capacités historiques d'interception des appels entrants, offre la possibilité de présenter une interface spécifique sur l'écran de l'appareil. Il peut servir, de manière basique, à masquer le numéro de l'interlocuteur et usurper celui de la banque. Mais il pourrait également être exploité pour imiter (fidèlement) les messages de confirmation de la validité de la communication adoptés de plus en plus souvent.
La deuxième nouveauté – qui répond à la tendance actuelle de nombreuses institutions financières à réduire, voire éliminer, les occasions de contacter, à leur initiative, leurs clients par téléphone – est encore plus inquiétante puisqu'elle permet cette fois le détournement des appels sortants. Le scénario type est celui de la personne tentant de joindre sa banque via ses coordonnées, de confiance, et se trouvant, en réalité, mise en relation avec un escroc, auquel elle risque facilement de dévoiler des informations sensibles et de fournir la capacité de réaliser des malversations sur leurs comptes.
Ce sont évidemment les fonctions extraordinairement riches des smartphones modernes qui ouvrent de telles opportunités aux fraudeurs (dont certaines, telles que les échanges Bluetooth, semblent placées en réserve selon l'étude de Zimperium). Les mécanismes d'autorisation des systèmes d'exploitation (ici Android) sont censés protéger les utilisateurs… mais, dans une large mesure, à condition qu'ils soient vigilants. Or cette dépendance vis-à-vis du comportement des individus est clairement inaceptable.
Aucun commentaire:
Enregistrer un commentaire
Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)