Dans l'arsenal des escrocs, notamment pour les spécialistes de l'ingénierie sociale, le recours aux solutions de partage d'écran sur les smartphones représente aujourd'hui une menace relativement marginale mais néanmoins réelle. L'application mobile de Santander, au Royaume-Uni, introduit donc désormais une parade spécifique.
La technique est éprouvée, simple variante de toutes les arnaques dans lesquelles une personne se fait passer, en général au téléphone, pour un collaborateur d'un service d'assistance ou d'un fournisseur quelconque. Dans ce cas précis, il s'agit de convaincre la victime de télécharger un logiciel de partage d'écran, sous prétexte de résolution d'un problème, dont l'utilisation va ensuite permettre, au fil d'une navigation téléguidée, de capturer un ensemble d'informations sensibles. Les clients britanniques de la banque auraient perdu 1,8 millions de livres en 2024 grâce à ce procédé.
Depuis quelque temps, Santander avait mis en place un message d'alerte dédié à ces situations, signalant l'activation d'un outil dangereux lors de l'accès aux services bancaires, avec des incitations à la prudence (dont le rappel que l'entreprise ne fait aucun usage de ces méthodes, ni les autorités) et des recommandations concrètes. Avec la nouvelle version de son application, la protection prend une autre dimension : à partir du moment où le partage d'écran est détecté, l'écran est entièrement flouté et l'utilisateur n'est plus alors en mesure d'exécuter la moindre action sur ses comptes.
En regard du volume global de la fraude affectant les porte-monnaie des consommateurs, qui se mesure en milliards, les sommes relevant de ces attaques particulières peuvent paraître dérisoires. Cependant, l'approche déployée par Santander est suffisamment triviale – pour qui maîtrise le développement logiciel – pour que son coût ne constitue pas un obstacle. Il est même probablement invisible dans le budget du département informatique, par rapport aux autres investissements de sécurité.
En réalité, c'est l'absence de défense de ce genre qui est choquante, dans le groupe espagnol jusqu'à maintenant et dans les autres établissements concernés, s'il en reste (ce qui est à craindre). En effet, l'intégration de garde-fous contre toutes les méthodes autorisant l'accès aux informations affichées sur un écran de téléphone fait partie depuis très longtemps des bonnes pratiques universelles de conception sécurisée : que ces dernières ne soient pas systématiquement appliquées est extrêmement inquiétant.
Aucun commentaire:
Enregistrer un commentaire
Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)