Tags

,

Nouveaux services, nouvelles menaces: la course poursuite continue.

L’accès aux coffres des banques a longtemps été protégé par des vigiles à gros bras et des coffres forts. Puis est arrivée la carte bleue, qui a permis l’accès aux fonds depuis n’importe quel distributeur automatique, et n’importe quel commerçant. L’arrivée d’Internet a achevé la dématérialisation en consacrant le numéro de carte bancaire comme moyen de paiement à part entière.

Les fraudes

L’abus et la fraude se sont dématérialisés en parallèle: depuis l’époque des courses poursuites épiques de la bande à Bonnot il est devenu possible de copier des cartes en maquillant les distributeurs, de voler des coordonnées bancaires sur les serveurs des banques et des commerçants. Puis est venue l’époque des attaques distribuées: plutôt que d’affronter les pare-feux des banques, il est bien plus facile – et donc rentable – de forcer les clients à dévoiler leurs crédentiels de sécurité: mot de passe et codes divers. Sites de phishing et virus rivalisent dans cette catégorie.

Et ne croyez pas que le phénomène soit marginal: selon l’état de l’art 2010 en matière de sécurité informatique publié par Verizon, le nombre d’informations personnelles volées en 2008, dont une majorité de coordonnées bancaires, s’élève à 360 millions. 85% de ces vols sont attribués au crime organisé, il est donc illusoire d’imaginer que les données seront entreposées sans être exploitées.

Les protections

Les mécanismes de sécurité mis en place sur les sites bancaires se sont par conséquent métamorphosés ces deux dernières années: l’identification de l’utilisateur, de même que la réalisation d’opérations bancaires proprement dites, font l’objet de toutes les attentions.

L’identification est protégée de plus en plus par un artefact physique que l’utilisateur possède et non plus seulement par un mot de passe, que l’utilisateur connait, et qui peut être volé ou deviné.

Par exemple:

  • La carte de clés indexée permet de multiplier les mots de passe, et donc de limiter leur vol. En plus de l’utilisation du login et du mot de passe, l’utilisateur doit saisir une clé de sa carte de clés: par exemple ‘C5’, pour la clé contenue dans la ligne C, colonne 5.
  • La carte d’authentification bancaire (CAB; voir un exemple) utilise un mécanisme de défi-réponse électronique pour rendre la copie du moyen d’identification inopérant. L’utilisateur rentre son code PIN sur la CAB, ainsi qu’un défi unique généré par le site Web. La CAB calcule la réponse, qui est entrée par l’utilisateur et comparée à la réponse attendue par le serveur. La banque populaire, par exemple, a fait le choix d’en équiper tous ses clients.

Les transactions peuvent être confirmées de deux manières: soit par un token de type ‘Vasco’, qui génère des mots de passe à usage unique toutes les trente secondes, soit par un code de confirmation transmis par un autre canal que le site web sur lequel l’utilisateur est connecté.

  • Les tokens Vasco garantissent que l’utilisateur possède le générateur de mot de passe associé au code utilisé, rendant complexe le vol des coordonnées d’identification. L’utilisateur valide la transaction en indiquant la valeur du mot de passe unique (OTP, One Time Password) généré par le token Vasco. Cet OTP ayant une durée de vie limitée, il ne peut pas être utilisé pour des attaques ultérieures.
  • Le code de confirmation, envoyé par mail ou SMS, permet en outre de s’assurer que le type et le montant de l’opération validée sont bien ceux présentés sur le site web. L’utilisateur reçois un message avec le récapitulatif de la transaction qu’il souhaite effectuer et un code valable quelques minutes. Il vérifie que les données de la transaction sont correctes, et la valide en entrant le code sur le site Web.

Le code de confirmation a en particulier pour objectif de prévenir les attaques de virus tels que Zeus ou SpyEye, qui modifient dans le navigateur du client les pages affichées. Alors qu’il vient d’être introduit sur les téléphones mobiles, il est déjà mis en péril par Zitmo (Zeus in the Mobile), qui espionne les SMS reçus par l’utilisateur pour en extraire le code de confirmation et l’envoyer à son commanditaire. L’attaque Zitmo, récente, n’est pour le moment pas considérée par les banques comme une menace suffisante pour mettre en péril la sécurité des utilisateurs.

Pourquoi ? Simplement parce que les attaques plus anciennes sont encore fructueuses, et donc rentables. Le développement de Zitmo aura lieu dès que les protections contre les techniques classiques de phishing et de virus installées sur les ordinateurs des utilisateurs auront rendu ces attaques inefficaces. Ce qui ne saurait tarder.

Le virus ne meurt jamais

Les mécanismes de sécurité actuellement en place sont suffisants pour protéger l’utilisateur attentif. Mais la bataille continue autour du coffre-fort numérique. A bientôt sur ce blog pour les prochains épisodes.

Advertisements