Autopiratage bancaire

le 06/03/2008, par Marc Olanié, Actualités, 569 mots

Les victimes de cette vague d'attaque sont, nous explique l'équipe de SecureWorks, essentiellement Australiennes, Néo-Zélandaises, US, Britanniques et Italiennes. Les initiateurs de ce cyberbraquage bancaire par troyen interposé sont des développeurs Allemands travaillant pour le compte d'un groupe Russe. Là encore, les procédés d'intrusion sont connus, mais le mode opératoire change de l'habitude, devient de plus en plus subtile. Par le biais d'une première campagne de « spear phishing » -un phishing très ciblé et personnalisé semblant émis par l'organisme bancaire de la victime-, les techno-malfrats injectent un cheval de Troie sur la machine de la victime. Précisons au passage que l'équidé grec en question prétend prendre la forme d'un certificat... peut-on demander à une personne, même très versée dans l'art d'utiliser un ordinateur, de reconnaitre d'un premier coup d'oeil un véritable certificat d'un autre totalement bidonné ? Le simple fait d'octroyer à l'usager un pouvoir de décision sur la validité d'une autorité de certification est une faille conceptuelle qu'il faudra bien un jour ou l'autre combler. Mais revenons à nos herbivores. Cette haridelle Hélène, une fois n'est pas coutume, ne vole pas de crédence, n'intercepte pas de numéro de compte bancaire. Elle alerte le « péscheur » au moment précis ou le client se connecte à sa banque, et lui permet d'utiliser cette liaison légitime pour y perpétrer tout type d'opération frauduleuse : nul besoin de connaitre les noms et mots de passe du quidam à détrousser, inutile de chercher à contourner des procédés d'authentification à double ou triple facteur... même la biométrie ne peut rien contre un passager clandestin glissé dans un tunnel VPN. C'est là une version binaire et protocolaire de ce que les spécialistes de l'ingénierie sociale appellent le « tailgating », les employés de la RATP de la « fraude au portillon » et les spécialistes de l'histoire antique un... Cheval de Troie. Hélas, dans le domaine de la sécurité, le nom est déjà utilisé par un autre procédé technique. Il ne peut exister que deux parades possibles à cette forfaiture, l'une coté serveur, qui consisterait à détecter des séquences de requêtes html trop rapprochées par exemple -en attendant une véritable analyse comportementale reposant sur le profil de chaque client de la banque-, l'autre du coté du poste client, qui agirait de manière conventionnelle (antirootkit, analyse des processus et échanges au niveau du firewall etc). L'abondance de contre-contre-mesures, l'escalade technologique censée protéger une transaction en ligne (biométrie, codes à usage unique, cartes Token etc) ne serviront à rien tant que l'intégralité de la chaine de communication ne sera certifiée segment par segment et de bout en bout. Malheureusement, depuis l'invention du télégraphe Chappe, personne n'a pu approcher ce Saint Graal. Une partie de la réponse se trouverait-elle dans la fameuse « sensibilisation » ? C'est peu probable. L'efficacité de la sensibilisation s'arrête là ou le discernement humain commence à se brouiller. Plus les clients des banques que nous sommes recevront un enseignement stéréotypé, plus les cybertruands seront capables d'affiner leurs coups. Ce n'est pas une raison pour ignorer ce preux chevalier de la formation antiphishing, Phime.com, qui semble faire preuve d'une approche intelligente. Notamment en ne prenant pas l'usager pour un parfait demeuré. Enseigner comment « Jeter un coup d'oeil » sur le source d'une page html douteuse semble, pour bien des experts en formation, une tâche insurmontable... un mauvais vulgarisateur est toujours en butte à de mauvais élèves. Mais existe-t-il un véritable modèle économique pour une structure -gouvernementale ou entrepreneuriale- spécialisée dans la seule prévention au phishing ?

T-Mobile authentifie de manière forte 15000 employés via leur mobile

L'opérateur mobile T-Mobile authentifie 15 000 collaborateurs via leurs téléphones mobiles. Les employés de T-Mobile

le 05/02/2013, par Jean Pierre Blettner, 341 mots

La cybercriminalité va faire l'objet d'un énième rapport du ministère...

Le ministère de l'intérieur entend mieux piloter la lutte contre la cybercriminalité. Le ministre de l'intérieur Manu

le 30/01/2013, par Jean Pierre Blettner, 222 mots

Mega déjà mis en cause pour violation de propriété intellectuelle

Le site de stockage et de partage de fichiers Mega a supprimé du contenu violant la propriété intellectuelle le

le 30/01/2013, par Véronique Arène et IDG News Service, 832 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...