Application bancaire mobile : ces failles qui fragilisent votre portable
Récupérer discrètement des identifiants bancaires personnels ne pose pas de grandes difficultés, ce qui ne veut pas dire que les comptes sont facilement piratables. Explications.
Un client sur dix utilisateur en 2013, un sur cinq en 2015, un sur trois en 2017. Le déploiement des applications bancaires mobiles est rapide. Selon une étude Deloitte/Visa publiée en septembre 2017, 63% des Français (et 77% des 18-34 ans) utilisent leur portable ou leur tablettte pour gérer leurs finances.
Tous ne le font pas encore via une application dédiée (ils peuvent passer par le portail internet), mais ces dernières remplacent de plus en plus les consultations depuis un PC, sans parler des opérations au guichet, désormais exceptionnelles (moins d'une sur dix en 2015).
Qu'il s'agisse d'iOs ou d'Android, d'Iphone Apple ou de Samsung, les tentatives de fraude via les terminaux mobiles sont également en voie de banalisation. Il ne se passe plus un mois sans que les experts ne découvrent une nouvelle arnaque.
En 2016, la société montpellieraine Pradeo a analysé cinquante applications mobiles parmi celles des 100 premières banques mondiales, classement dans lequel on retrouve les françaises Société Générale, BNP-Paribas, Crédit Agricole, BPCE, Crédit Mutuel et la Banque Postale, ainsi que des banques étrangères présentes en France comme HSBC ou Barclays. Pas une des 50 applications choisies n'a passé avec succès les tests de sécurité !
Le principal souci n'est pas l'application elle-même, mais son entourage au sein du terminal mobile
Clément Saad, dirigeant et fondateur de Pradeo.
Plutôt que d'attaquer frontalement les outils cryptées des banques, les pirates utilisent des moyens détournés pour récupérer nos identifiants.
Tout commence quand vous télécharger une application en apparence anodine, reprend Clément Saad. En réalité, c'est un malware, un logiciel malveillant. Il va lire ce que vous tapez sur votre écran, y compris vos identifiants, ainsi que les SMS de confirmation que vous envoie votre banque, au moment de valider les opérations.
Clément Saad, dirigeant et fondateur de Pradeo.
Je compare les offres bancaires
Applications contrefaites
Le malware peut prendre la forme d'une application gratuite, comme un système de personnalisation des SMS. Il peut aussi imiter une application très célèbre. Le cas le plus connu est celui du piratage de l’application mobile Pokemon Go, en 2016.
Autre version, plus retorse : le malware imite votre application bancaire ! Il détecte son lancement et ouvre automatiquement une fausse fenêtre, qui se superpose à la vraie. En tapant vos codes, vous les communiquez sans le savoir à des pirates. C'est ainsi que fonctionne le malware "Marcher".
En février 2017, les experts en sécurité de la société néerlandaise Securify B.V l'ont examiné en détail. Marcher imiterait les applications mobiles de BNP Paribas, du Crédit agricole, de la Société Générale, de la Banque populaire et des Caisses d'épargne ! Pour une menace détectée, combien d'inconnues ?
Les malwares mutent en permanence. On va retrouver les mêmes codes-sources (les éléments fondamentaux du logiciel, ndlr), dans des variantes toujours renouvelées.
Clément Saad.
Vous voulez un code source de malware pour application bancaire mobile ? Rien de plus simple. Taper "GMbot source code" sur votre moteur de recherche. Le dossier a été mis en ligne en 2016 par un inconnu, à la disposition des apprentis pirates, qui l'ont décliné en version Acecard, Bankesy, etc.
Je compare les offres bancaires
Pirater, pas si simple
Voilà pour les mauvaises nouvelles. Du côté des bonnes nouvelles, pirater n'est tout de même pas si simple (1). Créé en 2016, l'Observatoire de la sécurité des moyens de paiement ne distingue pas dans ses statistiques les malversations opérées depuis des portables ou des tablettes, mais les chiffres globaux suggèrent qu'elles restent rares.
A priori, la finalité du piratage d'un compte depuis un mobile est de le siphonner par virement ou paiement à distance. Du côté des virements, la situation est sous contrôle, avec un taux de fraude très bas (0,0004%). "Quand un ordre de virement est passé, la réglementation fixe la date de valeur à J+1, ce qui laisse 24H à un établissement pour détecter une malversation éventuelle", pointe Alexandre Stervinou, chef du service de surveillance des moyens de paiement scripturaux de la Banque de France.
Autrement dit, même si un hacker récupère vos identifiants, il a très peu de chances de faire passer un virement frauduleux. Plusieurs mouvements au plafond maximum en très peu de temps ou une activité sur le compte depuis un pays exotique font sonner l'alarme.
La donne va changer avec l'arrivée courant 2018 du virement instantané. Les comptes seront débités et crédités quasiment instantanément. "C'est une réforme mûrement préparée, les outils automatisés de surveillance des virements sont désormais suffisamment sophistiqués pour assurer la sécurité des transactions
Alexandre Stervinou.
Un élément clé est la notion de "terminal de confiance". Quand vous téléchargez une application bancaire, la banque vous demande si le mobile utilisé est votre "terminal de confiance", avec envoi d'un courrier pour confirmation. Une fois enregistré par l'établissement, votre portable a lui-même un identifiant crypté. Une demande de virement depuis un terminal inconnu déclenche une procédure de sécurité.
Je compare les offres bancaires
Comment se protéger
La situation est plus critique en ce qui concerne les paiements à distance. Selon l'observatoire, la fraude atteint dans ce domaine 0,19% des opérations, soit une sur 500. C'est sans conteste le point noir actuel. Pour protéger votre téléphone, ayez les bons réflexes.
Les experts conseillent de ne jamais télécharger d'applications hors des stores officiels. Par défaut, la plupart des smartphones ont une fonction "valider les applications". Il ne faut pas la désactiver. Faite les mises à jour du système d'exploitation et des autres logiciels.
Enfin, surveillez les autorisations (en allant dans "paramètres", puis "applications", dans le menu de votre portable). Vous constaterez que les développeurs demandent énormément d'autorisations, souvent dans l'espoir de vendre de la publicité ciblée. Ils n'ont pas l'intention de frauder, certes. Mais il n'y a aucune raison pour qu'une appli visant à compter vos pas, par exemple, accède à vos SMS. Dans le doute, désinstallez l'application.
Sous-papier
Fraude : qui doit payer ?
Votre compte a été débité par virement ou paiement CB de plusieurs milliers d'euros, en utilisant vos identifiants. Vous demandez à être remboursé. La banque refuse en invoquant le code monétaire et financier (art. L. 133-16-1), qui dit que "l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés".
Elle estime quevous avez fait preuve de négligence, en répondant à un SMS frauduleux ("phishing") ou en téléchargeant une quelconque application piratée sur votre mobile.
« Pas forcément », a répondu la Cour de cassation en janvier 2017, dans un litige opposant le Crédit Mutuel Nord Europe (CMNE) à un de ses clients (1). La négligence "ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés".
Dans cette affaire, le compte était sécurisé par un système "3D Secure," comportant une clé choisie sur une carte à 64 numéros, plus un code SMS à usage unique. Un détail a aidé le plaignant : deux des opérations ont été passées à minuit exactement un 14 juillet. Comment saisir deux codes simultanément ?
En réalité, le CMNE semble avoir été victime d'une fraude à grande échelle en 2013 et 2014, accumulant à lui seul plus de litiges que les 17 autres caisses du groupe Crédit Mutuel. Difficile d'invoquer la négligence des clients. La situation semble, depuis, revenue à la normale.
(1) Arrêt de cassation du 18 janvier 2017 examinant une décision du tribunal d'instance de Lille du 15 décembre 2014.
