Sondage : Avez-vous confiance en votre banquier ?
Transactions en ligne: Avez-vous confiance? demande l'UIT, lançant ainsi une grande enquête sur le degré de fiabilité subjectivement perçue par les clients des organismes financiers. Rappelons que l'UIT s'occupe, depuis toujours, des problèmes de sécurité liés aux outils de communication. Les résultats de ce sondage devraient être publiés le 17 mai prochain. Ce même jour, notre confrère John Leyden, du Register, rapporte au fil d'un reportage réalisé à l'occasion d'Infosec Londres, que le phishing s'internationalise : les courriels d'incitation rédigés dans une langue autre que l'anglais passent la barre des 40%. Sont désormais visés, explique le spécialiste sécurité du Register, les Allemands, Espagnols, Italiens, Hollandais, Scandinaves, Français... tiens, John doit probablement avoir mal entendu. C'est bien connu, le phishing, en France, ça n'existe pas. Les statisticiens avides de chiffres peuvent compléter leurs compilations en se reportant sur l'article de VNU Net, qui, lui aussi, rapporte les détails de cette étude. Un VNU qui, comme pour confirmer la précarité du milieu bancaire en ligne, ressort une histoire qui commence à sentir le réchauffé : la découverte, par F-Secure, du hack des authentifications « double facteur » utilisant un code à usage unique (PAN). Rappelons que ce détournement utilise une technique de type « man in the middle » reposant sur un faux site capturant et ré-utilisant les PAN fournis par les usagers dupés. Mais ne paniquons pas, tout çà ne peut pas arriver en France. Comme si tout cela ne suffisait pas, voilà que nos grands frères américains de PC World nous révèlent l'existence d'une toute nouvelle technique de détournement : plutôt que d'employer une page Web pour capturer les mots de passe et numéros de compte de leurs victimes, les cybertruands incitent leurs victimes à... téléphoner. Le numéro fourni aboutit à ce qui ressemble à un système de phoning automatisé, qui, sous prétexte d'identifier le client, demande de composer, à l'aide du cadran de téléphone, le numéro de compte client. Et hop, voilà que la VoIP vient de faire son entrée dans le monde officiel des technologies mafieuses. Pour l'heure, seul Cloudmark semble avoir été témoin de ce genre d'attaque. Précisons tout de même, ce que ne semblent pas avoir très bien saisi certains de nos confrères ayant relaté l'affaire, que le mot VoIP n'est là que pour donner un peu de panache à l'histoire. Un simple répondeur téléphonique légèrement évolué associé à un décodeur DTMF ferait très bien l'affaire, pour qui n'a pas oublié comment fonctionne le RTC. A l'intérieur de nos frontière, nous ne risquons strictement rien. A ce rythme là, l'enquête de l'UIT risque d'assombrir la réputation de la banque en ligne. Sauf en France, cela va sans dire.
