Les cybercriminels multiplient les techniques pour dérober de l’argent aux utilisateurs de mobiles
Grâce aux progrès technologiques, il est désormais possible de remplacer des objets du quotidien comme ses clés ou son portefeuille par son smartphone. L’utilisateur peut notamment prévoir des systèmes de contrôle pour restreindre l’accès à cet appareil et sécuriser ses fonctionnalités. Toutefois, ces dispositifs de sécurité ne protègent pas suffisamment contre les malwares et le piratage.
En 2017, McAfee a identifié près de 4 000 types de programmes malveillants qui se déclinaient chacun dans une dizaine de versions. Actuellement, de nombreux malwares échappent encore aux systèmes de sécurité des sites fournisseurs d’applications. Le nombre de menaces pour les services bancaires mobiles a d’ailleurs augmenté de 60 %, contre 70 % pour l’univers de la cybermonnaie.
Les failles de sécurité se multiplient notamment en raison de la domination du marché par seulement deux systèmes d'exploitation pour mobiles. Les utilisateurs ont également une fâcheuse tendance à ignorer les mises à jour et les extensions des systèmes de sécurité, empêchant ainsi de remarquer les éventuelles anomalies sur leurs appareils.
Je compare les offres bancaires
Les utilisateurs de mobiles fortement exposés
Face à la multiplication des attaques, les spécialistes en sécurité informatique insistent sur l’obsolescence et le manque de fiabilité de l’authentification par SMS dans le secteur bancaire. En effet, il est désormais possible de contrôler totalement le compte d’un client grâce à différentes méthodes d’usurpation. Un cybercriminel peut notamment faire une copie de sa carte SIM ou de ses données d’identification.
Le clonage de la carte SIM est une technique efficace, faisant partie des méthodes les plus utilisées par les malfaiteurs. En effet, il est assez difficile de prévoir l’apparition de l’attaque et de détecter son exécution en mode furtif. D’ailleurs, sans les solutions adéquates, le propriétaire du compte bancaire associé au smartphone n’a quasiment aucun moyen de se défendre.
Cette technique consiste à suivre l’utilisateur quelque temps et à installer un logiciel espion sur son téléphone pour intercepter ses données bancaires. Une fois ces informations obtenues, le malfaiteur sera en mesure de fabriquer une fausse carte d'identité au nom du client. En présentant ce document, il pourra obtenir une copie de la carte SIM de l’utilisateur auprès de son opérateur.
Dès lors, il lui suffira de se connecter via ce clone pour transmettre un ordre de virement, puis recevoir un SMS avec le code d’authentification. En général, l’utilisation simultanée d’une carte SIM et de sa copie provoque des perturbations sur le réseau. De ce fait, des problèmes de connexion récurrents, tels que la perte de réseau ou les déconnexions par intermittence, devraient immédiatement alerter l’utilisateur.
Cette technique particulièrement lucrative est une des préférées des cybercriminels. Parfois, ils parviennent à détourner plusieurs centaines de milliers d'euros en une seule fois. La somme est immédiatement injectée sur les cryptomarchés pour effacer toute piste. Les malfaiteurs peuvent aussi la répartir entre plusieurs guichets pour effectuer des retraits simultanés.
Je compare les offres bancaires
Les solutions envisageables
Outre l’application de la banque mobile, les jetons mobiles représentent une option intéressante pour l’authentification du client et la validation de l’opération. Ces solutions sont d’ailleurs recommandées pour les établissements financiers en général.
Toutefois, il vaut mieux choisir un appareil cryptographique spécifique pour pouvoir répondre aux exigences les plus strictes en matière de sécurité.
Ce type de solution détecte toute tentative d'activation d’un compte donné sur un nouveau téléphone. Avec le mode d'appariement adapté, personne ne sera capable d’usurper l’identité de l’utilisateur, même en disposant d’une copie de la carte SIM.
Ces systèmes sont entièrement contrôlés par la banque. De ce fait, l'opérateur mobile ne pourra pas remplacer le protocole de sécurité par les siens et créer de brèches exploitables pour les cybercriminels, dans le cadre d’une transaction bancaire.
Certaines solutions intègrent des fonctionnalités permettant de protéger un appareil contre les attaques à distance en cas d’absence de l'utilisateur, à travers la Détection de Présence Humaine (HPD). Le client peut également renforcer ces systèmes en utilisant des plateformes courantes comme Facebook ou Gmail. Ainsi, il pourra contrôler l'accès à d’autres ressources importantes, en dehors de son compte bancaire.
Pour plus d’efficacité, les jetons d'autorisation mobiles dédiés aux transactions peuvent aussi inclure un dispositif de détection d'attaque et un modèle WYSIWYS (What You See Is What You Sign). Dans ce cas, l’utilisateur devra renseigner de nouveau les données de transaction sur un second appareil, pour confirmer ou bloquer le virement.
Ainsi, le montant ou le numéro de compte ne pourront pas être modifiés sans que le client n’en soit informé au préalable au cours du processus de validation sur l’autre appareil. Avec les systèmes actuels, les utilisateurs vérifient rarement les informations envoyées par SMS, notamment concernant le montant ou le bénéficiaire de l’opération bancaire.
