E-banking : un cheval de Troie à l’assaut des identifiants de connexion
- L’association bancaire de Singapour (ABS), alertée par le nombre croissant de plaintes de ses clients, communiquait le 28 septembre dernier sur une nouvelle menace induite par le cheval de Troie nommé SpyEye. Susceptible de dérober les identifiants de connexion de ces derniers, cette menace se propage, comme souvent, par le biais de sites infectés, par e mail ou via téléchargement depuis les réseaux sociaux.
- Lorsque l’utilisateur entre ses identifiants sur le site légitime de la banque, une boîte apparaît et explique que la transaction devrait nécessiter d’une à dix secondes ou que des vérifications sont en cours. L’association conseille aux clients de se déconnecter dans le cas où ce type de message s’afficherait et de contacter leur banque.
- La simple utilisation d’OTP (SMS par exemple) ne résout pas ce problème : le virus attend en effet que le client ait entré le code pour prendre la main et réaliser des transferts. Certaines banques proposent un second OTP pour sécuriser les transactions excédant un certain montant : ces mécanismes, plus complexes, pourraient ici être déployés.
- Trusteer a récemment étudié une variante de ce cheval de Troie qui s’empare des identifiants bancaires des utilisateurs sous Android ; cette adaptation de la menace s’oriente vers le e-banking sur poste fixe, témoignant encore du caractère inextricable de ces canaux, très proches, et de leur perméabilité.
- Ces risques s’ajoutent à la prolifération de sites frauduleux et autres tentatives de phishing ; ils sont encore aggravés par le manque d’éducation des utilisateurs en matière de protection. Une étude portant sur les Etats-Unis, conduite par Melbourne IT, révèle que moins de la moitié des sondés s’assurent que l’URL du site correspond effectivement ; parallèlement, 75 % des personnes interrogées estiment pouvoir avoir confiance dans les institutions financières pour sécuriser leurs comptes.
- Egalement à titre d’indication, au Royaume-Uni, la fraude en ligne décroît de 32 % au cours du premier semestre 2011 (16,6 millions de livres) selon la Financial Fraud Action UK. Au cœur de cette évolution : une prise de conscience des internautes et l’utilisation d’outils de détection de fraude. Néanmoins, alors que le montant total des pertes liées à la fraude au Royaume-Uni diminue de 9 %, les pertes liées aux arnaques téléphoniques augmentent elles de 48 % sur la même période par rapport à 2010 (voir l’Observatoire d’avril 2011).