|
|
|
|
|
Sommaire Sécurité |
|
Joachim Krause (Telindus Arche) : "En matière de phishing, la sensibilisation reste la solution la plus efficace" |
Joachim Krause, consultant senior sécurité chez Telindus Arche, revient sur la tentative de phishing touchant le Crédit Lyonnais et expose les enjeux du phishing dans les banques.
(03/02/2006) |
|
Pouvez-vous revenir sur l'attaque
de phishing dont les clients du LCL ont été victimes ?
Joachim Krause. Historiquement, le premier cas de phishing
orienté vers les banques françaises est apparu en mai 2005.
Ce technique frauduleuse existant depuis plus longtemps aux
Etats-Unis et en Angleterre, ces pays ont déjà mis en place
des moyens pour se protéger. Les fraudeurs se reportent naturellement
sur des "marchés" moins protégés contre les attaques, la
France en fait partie.
Le premier cas de phishing était une tentative maladroite avec des
mails pleins de fautes. Les autres tentatives de phishing
qui ont suivi n'ont pas été plus réussies. Celle de la semaine
dernière dirigée contre le LCL est la plus dangereuse. En effet,
les fraudeurs n'ont pas fait un choix pas hasardeux, le Crédit
Lyonnais venant de changer d'image, il était plus simple de
piéger les clients de l'établissement bancaire.
Le phishing s'appuie sur une copie du site bancaire, qui est
en général imparfaite. De manière générale, je dirais que neuf
clients sur dix s'arrêtent au mail en anglais ou en français.
Et pour le dixième qui aura cliqué, des éléments liés au site
vont le troubler, comme l'URL.
Dans le cas du Crédit Lyonnais, qui vient de changer
de nom et de charte graphique, le client n'a donc plus de repère
sur le site. Et c'est là que l'attaque
est inquiétante car les fraudeurs se perfectionnent techniquement
dans le social engineering.
Comment les établissements bancaires
et les internautes peuvent-ils se prémunir face au phishing ?
Cette menace a été prise très au sérieux par LCL, le site ayant
été immédiatement bloqué. Il s'agit là d'une première. La Fédération
des Banques Françaises a envoyé un message de prévention à tous
les établissements financiers pour les avertir de cette attaque.
Le phishing est détecté rapidement : les clients ayant
reçu le mail envoient rapidement un avertissement à l'établissement.
Après, c'est une course de vitesse qui s'engage entre le site
bancaire contre le site frauduleux pour empêcher toute transaction.
Les banques luttent contre le phishing sur trois plans distincts :
d'abord, elles mettent en garde et sensibilisent leurs clients.
Ensuite, les établissements font appel à des sociétés spécialisées
dans la veille qui, entre autres, surveillent les noms de domaines
déposés. Ainsi, si un nom de domaine proche de celui de la banque est déposé,
cette dernière est avertie. Enfin, ils mettent en place des techniques
pour empêcher la capture d'information. A l'exemple du clavier virtuel, où l'internaute ne saisit pas
ses mots de passe via le clavier. Cependant, cette technique
est déjà obsolète. En effet, au Brésil, où le phishing est un
phénomène plus ancien, les fraudeurs ont déjà mis en place des
copies de site munis également d'un clavier virtuel.
Le
phishing n'est en effet pas la menace principale, le code
malicieux est bien plus important |
La technique la plus efficace est le one time password
c'est-à-dire un mot de passe qui ne sert qu'une seule fois.
Déjà mis en place dans des établissements financiers nordiques
et anglo-saxons, il permet une authentification forte. Mais ce
mécanisme a un prix. Il nécessite soit d'envoyer au client ses
différents identifiants via ses relevés, ce qui n'arrange pas
les établissements qui souhaitent mettre en place le "zéro papier".
Soit de donner à leur client une petite calculette qui fournit
un mot de passe généré dynamiquement, appelé "token" [NDLR : jeton]. Déployé
à grande échelle, ce mécanisme reste très coûteux, seuls quelques
établissements réservés aux clientèles fortunées proposent cet
outil.
Du point de vue de l'internaute, se prémunir contre le phishing
est complexe. Il existe des barres anti-phishing, mais elles
restent réservées aux populations anglo-saxonnes
et aux personnes technophiles. Ces barres ne
sont pas adaptées aux clients consultant leurs comptes en ligne.
Il faut donc être attentif lors de la réception d'un mail. La
sensibilisation reste la solution la plus efficace, étant donné
que les techniques anti-phishing n'existent pas.
Quelles autres menaces pèsent sur
les sites bancaires ?
Le phishing n'est en effet pas la menace principale. Le code
malicieux est bien plus important. Il s'agit d'un cheval de
troie qui s'installe sur le poste du client. Concrètement, ce
code se déclenche lorsque vous vous rendez notamment sur un
site bancaire. Il enregistre toutes les données tapées sur le
clavier et lors de la déconnexion du client envoie les informations au pirate.
Au lieu de braquer la banque, autant braquer le client qui a
un poste ouvert sur l'extérieur...
Une tendance est d'ailleurs à souligner : les virus sont en
voie de disparition et sont remplacés par des codes malicieux,
dont le but est le plus souvent lucratif. Cette attaque est
plus sournoise et plus large, car elle ne concerne pas uniquement
les identifiants bancaires d'un compte, mais toutes les données
pour toutes les banques et les sites B to C.
|
|
|
|
|
|
|
|