online banking
Transcription
online banking
TRUST IN GERMAN SICHERHEIT G DATA WHITEPAPER SÉCURITÉ DES OPÉRATIONS BANCAIRES EN LIGNE G DATA WHITEPAPER OPÉRATIONS BANCAIRES EN LIGNE G DATA WHITEPAPER OPÉRATIONS BANCAIRES EN LIGNE TRUST IN GERMAN SICHERHEIT TABLE DES MATIÈRES L’E-BANKING ATTIRE LES CYBERCRIMINELS L’e-banking attire les cybercriminels · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 03-03 Les profits financiers sont depuis longtemps la motivation principale des cybercriminels professionnels et des organisations internationales de pirates. Le nombre d’utilisateurs des services bancaires en ligne – en constante augmentation – reste l’une des principales cibles des attaques. Dérober l’argent qui transite par Internet directement à la source s’avère être une opportunité à saisir. Procédures d’autorisation des opérations bancaires en ligne · · · · · · · · · · · · · · · · · · · · · 04-05 Méthodes de piratage · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 06-07 G DATA BankGuard protège des attaques · · · · · · · · · · · · · · · · · · · · · · · · · · · · 08-08 G DATA INTERNET SECURITY POUR ANDROID · · · · · · · · · · · · · · · · · · · · · · · · · · · 08-08 Les statistiques européennes Eurostat montrent le fort intérêt des internautes français pour la gestion de leur compte bancaire en ligne. En 2014, 58 % des internautes français utilisaient les services bancaires en ligne, ce qui place la France bien au dessus de la moyenne des 28 pays (44 %). Whitepaper Banking und Shopping FR 04-2015 • 5110140415 Les méthodes d’attaque ont évolué au cours des dernières années. Les attaques reposaient initialement sur des attaques de type ingénierie sociale telles que l’hameçonnage. Les cybercriminels extorquaient aux utilisateurs les données d’accès et les numéros de transaction nécessaires pour les transactions de compte. Des techniques d’attaque plus complexes sont désormais nécessaires afin de contourner des procédures de sécurité à double authentification. Elles s’appuient systématiquement sur l’utilisation de programmes malveillants sophistiqués. Les repousser nécessite, en plus de la vigilance de l’utilisateur, des solutions de sécurité adaptées. Whitepaper Banking und Shopping FR 04-2015 • 5110140415 Ces services bancaires, bien qu’ils soient pratiques, ne sont pas sans risques. Selon l’Office fédéral de police criminelle allemand, les attaques cybercriminelles ciblant les utilisateurs de services bancaires en Allemagne ont généré un gain de 16,4 millions d’euros en 2013. Mais selon cet Office fédéral, les dommages réels s’élèveraient à environ 180 millions d’euros, puisque seulement 10 % des cyber attaques seraient déclarées. Les voleurs dérobent en moyenne 4 000 euros à chaque attaque. 2 3 G DATA WHITEPAPER OPÉRATIONS BANCAIRES EN LIGNE G DATA WHITEPAPER OPÉRATIONS BANCAIRES EN LIGNE TRUST IN GERMAN SICHERHEIT PROCÉDURES D’AUTORISATION DES OPÉRATIONS BANCAIRES EN LIGNE Toutes les procédures d’autorisation pour les opérations bancaires en ligne basées sur le Web reposent sur l’utilisation de la double authentification : le couple identifiant/mot de passe complété par un numéro de transaction véhiculé par un chemin différent. Ces numéros de transaction étaient initialement envoyés par la Poste à l’utilisateur sous forme de liste de codes, qui pouvaient être utilisées dans l’ordre souhaité pour débloquer des virements, etc. d’autres procédures plus modernes ont été mises en place pour renforcer les transactions. Whitepaper Banking und Shopping FR 04-2015 • 5110140415 I-TAN Dans le cadre de la procédure iTAN, ce n’est plus un numéro de transaction choisi dans la liste envoyée qui est valable mais un numéro de transaction à un emplacement défini de manière aléatoire dans une grille préalablement envoyée par courrier à l‘utilisateur. Aucune autorisation n’est possible sans connaître la liste dans son ensemble. Inconvénient : par le biais d’un hameçonnage habile, l’attaquant peut demander à l’utilisateur de remplir sur un faux site Internet l’ensemble des numéros de la grille. Il peut ainsi accéder aux données nécessaires pour débloquer les virements. un autre mouvement de compte sur Internet, la banque lui envoie par SMS un numéro de transaction unique relatif à cette opération. L’immédiateté et la simultanéité de cet éhange de code de validation limite les risques d’attaque. Il existe cependant le risque que les SMS envoyés soient interceptés ou transférés par un logiciel malveillant présent sur le téléphone mobile. Cette technique est possible dans le cadre d’une attaque ciblée (ciblant une entreprise par exemple), mais peu utilisable à grande échelle. PHOTO-TAN/PUSH-TAN Contrairement à la procédure smsTAN, les procédures photoTAN et pushTAN ne sont pas basées sur des SMS. Dans le cadre de la procédure photoTAN, une fois la transaction créée, un graphique de couleur est affiché sur l’écran du PC. Ce graphique doit être photographié à l’aide de l’appareil photo du téléphone mobile et est alors converti en un numéro de transaction par une application bancaire présente sur le téléphone. Un périphérique de lecture peut également interpréter le graphique, ce qui est une alternative plus sûre en raison du faible risque de manipulation. La procédure pushTAN envoie les données de la transaction créée en ligne par Internet à l’application bancaire sur le téléphone mobile de l’utilisateur. Elles sont alors vérifiées et un numéro de transaction est généré. Les procédures photoTAN et pushTAN barrent la route des pirates qui souhaitent accéder à des numéros de transaction valables en dérobant des SMS. Les applications bancaires utilisées sur les téléphones mobiles peuvent cependant être la cible d’attaques. CHIP-TAN/E-TAN/SMART-TAN La procédure d’autorisation généralement appelée chipTAN n’utilise pas le téléphone mobile mais un générateur électronique de numéros de transaction pour créer un numéro de transaction valable. La méthode de création du numéro de transaction varie selon le format : ¡¡ Dans le cadre de la procédure smartTAN, il suffit d’insérer une carte client appartenant à un compte (carte Maestro/ec/V-Pay) dans le générateur de numéros de transaction pour créer des numéros de transaction valables d’une pression sur un bouton. Point faible : le vol de la carte client permet à un pirate de créer des numéros de transaction valables. Le blocage de la carte permet néanmoins de déjouer les tentatives de piratage. ¡¡ Le générateur eTAN est personnalisé pour les clients et crée les numéros de transaction en utilisant une clé secrète, l’heure et le numéro de compte du destinataire du virement. Le client doit saisir ces informations sur le pavé numérique de l’appareil. Certains établissements bancaires utilisent un numéro de contrôle généré par un portail Internet à la place du numéro de compte du destinataire. Ce mode de fonctionnement peut néanmoins faire l’objet de manipulations. ¡¡ La procédure chipTAN implique l’utilisation d’un générateur électronique de numéros de transaction dans lequel une carte est insérée et d’un pavé numérique. La carte client est insérée dans l’appareil, le numéro de transaction est ensuite créé de différentes manières selon l’établissement : dans certaines banques, le client doit saisir un code de début, le numéro de compte du destinataire, ainsi que le montant (chipTAN manuel) sur le clavier. De nombreuses caisses d’épargne et banques populaires affichent au contraire un graphique composé de cinq barres clignotantes en noir et blanc (code clignotant) sur l’écran de l’ordinateur, graphique dont les capteurs optiques du générateur de numéros de transaction assurent la lecture. Le numéro de compte cible et le montant sont ainsi transmis et le client peut les vérifier sur l’appareil avant de créer le numéro de transaction. Il s’agit actuellement de la procédure la plus sûre. Whitepaper Banking und Shopping FR 04-2015 • 5110140415 Il existe en principe deux modes d’exécution totalement différents pour les opérations bancaires en ligne : via le protocole HBCI/FinTS et un logiciel client adapté ou via le navigateur Internet et l’utilisation d’un portail Web. Le nombre d’attaques visant les clients HBCI/FinTS étant extrêmement limité et la grande majorité des utilisateurs effectuant leurs opérations bancaires via leur navigateur Internet, nous n’évoquerons pas la première méthode dans le cadre de cet examen. SMS-TAN/M-TAN La procédure smsTAN/mTAN ne s’appuie pas sur une liste préalablement définie mais initie une deuxième voie de transfert simultanée pour la création d’un numéro de transaction. Lorsque l’utilisateur effectue un virement ou 4 Lors de la procédure photoTAN, le numéro de transaction est généré par la lecture d’un graphique chiffré sur l’écran du PC (source : Commerzbank). 5 G DATA WHITEPAPER OPÉRATIONS BANCAIRES EN LIGNE G DATA WHITEPAPER OPÉRATIONS BANCAIRES EN LIGNE TRUST IN GERMAN SICHERHEIT MÉTHODES DE PIRATAGE sur la manipulation des données du virement avant la création du numéro de transaction. Pour ce faire, les cybercriminels ont recours à des chevaux de Troie dédiés, qui font généralement partie des programmes malveillants les plus avancés. Les chevaux de Troie s’adaptent généralement parfaitement, grâce à des extensions appelées Webinjects, à une multitude de portails d’opérations bancaires en ligne internationaux. Ces extensions attaquent les navigateurs Web couramment utilisés (Internet Explorer, Firefox, Google Chrome, Opera) et manipulent la communication entre le PC et l’ordinateur de la banque. La communication chiffrée entre l’ordinateur de l’utilisateur et le serveur de la banque est ainsi déjouée : l’ensemble des données envoyées est en effet modifié avant ou après le chiffrement au niveau du navigateur. L’attaque de type Man-in-the-Middle, qui consiste à interrompre et manipuler la chaîne de communication, devient donc une attaque de type Manin-the-Browser, qui contourne élégamment l’obstacle que forme la communication chiffrée. L’ATTAQUE PEUT DISPOSER DE DIFFÉRENTS NIVEAUX DE COMPLEXITÉ : ¡¡ Dans le cas le plus simple, le programme malveillant fait miroiter à l’utilisateur un prétendu virement de remboursement, virement test, contrôle de sécurité, changement de la procédure IBAN ou autre. Pour ce faire, l’utilisateur doit créer et saisir un numéro de transaction. Le numéro de transaction créé est utilisé pour un virement se déroulant en arrière-plan sur le compte des criminels. Avantage de cette procédure : l’apparente légitimité et le déblocage du virement par les clients permettent de déjouer toutes les procédures d’autorisation couramment utilisées, la procédure chipTAN incluse. Inconvénient : les clients informés reconnaissent immédiatement la tentative d’escroquerie. ¡¡ Une zone de texte supplémentaire, dans laquelle le client doit saisir son numéro de téléphone mobile et la version du système d’exploitation de son téléphone mobile, est affichée sur la page de connexion de la banque. Un lien de téléchargement d’un prétendu logiciel de sécurité entraîne l’infection du téléphone mobile par un autre programme malveillant. Les pirates contrôlent alors l’accès au compte bancaire et peuvent utiliser les numéros de transaction envoyés par SMS. Ils sont donc en mesure de procéder à des virements. Selon les procédures d’autorisation, des programmes malveillants permettant d’obtenir/de transférer les numéros de transaction photoTAN ou pushTAN sont également imaginables. ¡¡ Le programme malveillant manipule les données du virement en arrière-plan et à l’insu du client, les données modifiées permettant de créer un numéro de transaction valable. L’escroquerie n’est révélée que si l’utilisateur vérifie de nouveau les données cible du virement avant la saisie du numéro de transaction. ¡¡ Les données personnelles obtenues à l’aide du programme malveillant permettent au pirate de commander une deuxième carte SIM auprès de l’opérateur mobile du client. Il peut ainsi recevoir les SMS de transmission des numéros de transaction sur son téléphone mobile et procéder à des virements. ¡¡ Dans le cas d’attaques ciblées, les attaquants peuvent aller jusqu’à manipuler les centrales téléphoniques des entreprises afin de rediriger les appels vers un faux centre d’appels. Là, de prétendus employés de banque rassurent les utilisateurs ciblés afin qu’ils procèdent aux transferts. Whitepaper Banking und Shopping FR 04-2015 • 5110140415 Whitepaper Banking und Shopping FR 04-2015 • 5110140415 En raison de l’association des données de la transaction et du numéro de transaction, ainsi que de l’utilisation d’une deuxième voie de transfert dissociée du PC pour la création des numéros de transaction, il est bien plus difficile pour les pirates et les cybercriminels d’obtenir les données nécessaires pour effectuer des virements. Il ne suffit plus de mettre la main sur des données d’accès au code et un numéro de transaction non utilisé ou la liste des numéros de transaction. Les voleurs en ligne ont besoin d’un numéro de transaction adapté à leur virement illégal. Toutes les méthodes de piratage efficaces reposent donc Les programmes malveillants actuels s’infiltrent dans le navigateur de la victime et manipulent les données bancaires avant ou après le chiffrement (source : securityaffairs.co). 6 7 G DATA WHITEPAPER OPÉRATIONS BANCAIRES EN LIGNE G DATA BANKGUARD PROTÈGE DES ATTAQUES La première protection contre les chevaux de Troie bancaires repose sur la reconnaissance des virus par la solution de sécurité installée. Si la signature du programme malveillant est connue, le programme est identifié et neutralisé lors du téléchargement. Si la reconnaissance échoue parce que le programme malveillant est encore inconnu, G DATA BankGuard protège le navigateur contre la manipulation par des Webinjects. Lors des opérations bancaires en ligne, de même que lors de l’accès chiffré à une boutique en ligne, la connexion avec l’ordinateur de la banque est établie via une bibliothèque chargée en mémoire. Les données de la connexion SSL chiffrée sont alors déchiffrées. G DATA BankGuard compare la version de la bibliothèque chargée en mémoire à une copie de confiance créée par BankGuard. Si des différences sont détectées, cela signifie que la bibliothèque a été manipulée par un code malveillant. Un message d’avertissement apparait alors pour informer l’utilisateur du danger. Le fonctionnement du navigateur est immédiatement interrompu et le cheval de Troie bancaire bloqué et supprimé. Le module G DATA BankGuard fait partie de toutes les solutions de sécurité G DATA pour Windows (ANTIVIRUS, INTERNET SECURITY, TOTAL PROTECION). G DATA INTERNET SECURITY POUR ANDROID Whitepaper Banking und Shopping FR 04-2015 • 5110140415 G DATA INTERNET SECURITY POUR ANDROID peut compléter efficacement la protection lorsque le client de la banque utilise l’une des procédures d’autorisation pour téléphone mobile. Le programme analyse les droits de toutes les applications installées et reconnaît ainsi les applications d’hameçonnage jusqu’ici inconnues. Le scanner de logiciels malveillants fiable identifie quant à lui les signatures des programmes malveillants connus dans les téléchargements et les applications de la mémoire de l’appareil. En cas d’attaque bancaire en ligne, il est ainsi impossible d’accéder aux SMS ou aux numéros de transaction créés par des applications. © Copyright 2015 G DATA Software AG. Tous droits réservés. Ce document ne peut pas être copié ou reproduit, en tout ou en partie, sans l’autorisation écrite de G DATA Software AG, Allemagne. Microsoft, Windows, Outlook et Exchange Server sont des marques commerciales déposées de Microsoft Corporation. L’ensemble des autres marques commerciales et noms de marques est la propriété de leurs détenteurs respectifs et ils doivent être traités comme tels. 8 TRUST IN GERMAN SICHERHEIT