Jean-Marc Boursat

L’affaire récente du “piratage” du compte bancaire du chef de l’état nous rappelle que cette question est toujours d’actualité. Un bref rappel des faits sortis dans la presse: le 19 octobre, le JDD nous apprend que des escrocs se sont procurés les coordonnées bancaires de Mr Sarkozy et qu’ils ont effectué des prélèvements sur son compte. Le 21 octobre, 01net, 20minutes et d’autres annonçaient l’arrestation de 2 personnes qui auraient utilisé les coordonnées bancaires du président pour ouvrir un ou plusieurs abonnements de téléphonie mobile. Le 30 octobre, leVif.be confirmait la thèse d’une organisation criminelle (sic) mettant en cause des vendeurs complices.

Cette affaire pose en fait deux questions de sécurité: Comment les coordonnées bancaires ont elle été récupérées? Comment sont vérifiées les coordonnées bancaires et en particulier, l’identité des détenteurs?

Les coordonnées bancaires sont des informations qui peuvent être récupérés de plusieurs façons: intrusion du système d’information de la banque, piratage du système de paiement d’une boutique (virtuelle ou réelle) ou d’un organisme de service privée ou publique (eau, électricité, téléphone, …) , vol de données personnelles des victimes ou bien … récupération de données dans les poubelles.

Nos poubelles sont pleines de papiers remplis d’informations sensibles.

Dessin : Chaunu (Source OuestFrance)

Selon une étude récente du Crédoc, 7% des poubelles des entreprises contiennent des données bancaires et ce chiffre monte à 20% pour les poubelles des particuliers.

Une étude de 2003 réalisée par des étudiants du MIT démontrait la capacité de récupération de données bancaires non effacées sur les disques durs vendus sur eBay (je recommande vivement l’usage de DBAN pour effacer efficacement vos données de vos disques durs avant mise aux enchères). Plus récemment, le Figaro relatait une affaire de disque dur égaré (sic) par une grande banque, qui contenait des données bancaires et qui a été vendu sur eBay. Ces quelques exemples montrent que nos données bancaires, comme toutes nos données personnelles, sont “récupérables” sans action particulièrement malveillante. 

Le phishing est une technique de vol de données qui semble toujours faire recette si on regarde les statistiques sur les campagnes de phishing. Le site phishtank.com analyse les mails de phishing envoyés par les internautes. Environ 10000 campagnes de phishing sont ainsi comptabilisées par mois. Les sources d’émission de ces mails sont localisées et la France héberge environ 4% des PCs utilisés pour ces tentatives d’escroquerie. Le phishing nécessite cependant une action de l’utilisateur (soyez vigilant!) et les escrocs exploitent l’actualité (dernier exemple, le phishing lié à la victoire d’Obama signalé par Websense).

nombre de campagnes de phishing sept07 – sept08 (source Phishtank.com)

La récupération de données bancaires s’est industrialisée, comme le montre le cheval de Troie Sinowal qui aurait permi (source RSA) la récupération de centaines de milliers de login/mot de passe depuis sa création il y a 3 ans. Pour avoir plus d’informations sur les malwares qui se spécialisent dans la recherche d’informations bancaires, il faut lire l’article de Roel Schouwenberg (Kaspersky Lab BNL). La conclusion de ce chercheur travaillant pour un éditeur d’anti-virus n’est pas rassurante: “Malheureusement, l’expérience des fabricants d’antivirus montre que la sensibilisation des utilisateurs a un effet limité, tandis que les mesures de sécurité prises par les institutions n’ont pas plus d’effet qu’un coup d’épée dans l’eau. En ce qui concerne les attaques contre des banques, tout semble indiquer que les fabricants d’antivirus restent toujours en première ligne, pour protéger à la fois les utilisateurs et les institutions financières.”

L’imagination des escrocs ne se limite pas au monde virtuel. 3 pirates présumés adeptes de la méthode du skimming -piégage de distributeur de billets ou de carburant – ont été arrêtés en Bulgarie (source Zdnet). Ils sont soupçonnés d’avoir piégé des stations services en Bretagne et fabriqué de fausses cartes de paiement. Une autre affaire concerne des centaines de terminaux de paiement CB piégés avant leur distribution dans des magasins et supermarchés européens (source Telegraph.co.uk). Ces terminaux de paiement (TPE pour les spécialistes) récupéraient les données pour les transmettre aux serveurs utilisés par un réseau mafieux. Ces nouvelles ne devraient pas réjouir les personnes qui hésitent à utiliser leur carte bleue pour payer des achats online. La protection de la saisie des données bancaires sur un site web est en principe assurée par l’usage de SSL. Malheureusement, il existe encore des sites (Amazon) qui conservent ces données sur leurs serveurs et en cas de problème de sécurité sur leur infrastructure ou leurs applications, les conséquences peuvent être à l’image de l’incident qui a touché TJX, société de vente américaine, dont la conséquence de l’incident est la divulgation de 45,7 millions comptes bancaires (record?).

Les sites de vente ou de banque en ligne sont en première ligne des attaques sur le web. Les attaques mettent à l’épreuve les mécanismes de sécurité implémentés (ou pas) dans les applications. Si ces mécanismes ne sont pas fiable, en particulier les contrôles des paramètres, l’authentification des utilisateurs et la gestion sécurisée des sessions et des profils, alors l’application peut être vulnérable. Le développement des applications doit prendre en compte les contraintes de sécurité, et cela nécessite des équipes formées. L’ISC2 a mis en place une nouvelle certification : “Certified Secure Software Lifecycle Professional (CSSLP)” qui valide les connaissances sécurité des développeurs (ISC2). Dans le cas des banques, la sécurité des applications fait généralement l’objet d’audit de sécurité. Mais le niveau d’authentification basé sur un mot de passe reste faible.  En tant que consommateur, nous acceptons de payer pour un coffre fort avec une sécurité physique rarement mise à l’épreuve. J’aimerai que ma banque me propose un niveau de sécurité supérieur pour accéder à mes comptes en ligne. 

Il ne faut cependant pas oublier que vos informations bancaires ne se limitent pas à votre numéro de carte bancaire, sa date de validité et son code de sécurité (sic). Les sites des banques nous informent sur les dangers courus par ces données et sur les bonnes pratiques (j’ai un faible pour le dangeromètre du Crédit Agricole). Mais nous distribuons nos RIB à beaucoup de fournisseurs de service (bien obligé!) et ces données finissent dans des bases de données. Ces données vont devoir être changées par le projet SEPA (harmonisation des coordonnées bancaires au niveau européen – cf le site du projet SEPA). Je ne suis pas sûr que cela renforce la sécurité de nos coordonnées bancaires. Nous sommes obligés de faire confiance au fournisseur de service dans sa capacité à protéger nos coordonnées dans ses bases de données. Et notre banque fait confiance (à priori) au fournisseur lors qu’il effectue le prélèvement avec notre accord. Lorsque cette confiance est abusée, des opérations douteuses peuvent arriver (pas seulement à notre président). La banque ne rembourse que si la victime peut prouver sa bonne foi et elle met cela dans ses pertes. 

Les raisons possibles pouvant entraîner l’usage frauduleux de vos données bancaires sont nombreuses. Il faut donc surveiller vos relevés, et je vous conseille de créer un compte spécifique à vos achats en ligne pour réduire les impacts sur vos finances en cas de problème. Les techniques existent pour mieux protéger nos données bancaires mais leur mise en oeuvre nécessite des investissements (trop) important pour que les banques et les organismes financiers les jugent intéressantes, surtout dans cette période de crise financière.