Les pirates du e-banking

Votre notation : Aucun Moyenne : 5 (1 vote)
<obtenir le code d'intégration de la vidéo>
Les pirates du e-banking
Publié le 31 octobre 2007
  • Reportage: Laurent Burkhalter
  • Montage: Ulrich Teiger

Comme des millions de Suisses, vous effectuez vos paiements via le net. Attention, votre argent est peut être en danger. Plusieurs millions de francs ont été dérobés depuis le début de l'année en Suisse pendant des sessions bancaires en ligne.

Dans son dernier rapport publié ces jours, la centrale d'analyse pour la sécurité de l'information MELANI identifie un type d'attaque désormais prisé des pirates : l'attaque de l'intermédiaire (« man-in-the middle »). Concrètement, le pirate envoie un spam contenant un virus, qui lui permet d'espionner sa victime. Quand celle-ci se connecte sur son compte, le pirate la dévalise.

Face à cette attaque, l'utilisateur ne peut rien faire. Dès que son ordinateur est infecté, aucun système d'e-banking, même bien sécurisé, n'offre de protection.

« On ne se doute de rien, c'est tellement insidieux qu'on ne peut pas avoir le soupçon d'un quart de milliseconde qu'on est piégé », explique Christophe Ruetsch, qui s'est voler près de 15 000 francs récemment. Le pirate lui avait envoyé un spam contenant un virus. Malheureusement, Christophe l'a ouvert.

Pour certains spécialistes de la sécurité informatique, les banques ne font pas assez pour protéger leurs clients. « La balle est dans le camp des banques, c'est à elles d'améliorer leur systèmes», explique Victor Emmanuel de Sa, fondateur de Geneva Solutions, une entreprise suisse de sécurité informatique. Victor a mis au point un solution de cryptographie ultra perfectionnée. Certaines banques à l'étranger ont commencé à l'écouter et ont acheté son produit.

Pour l'instant les banques suisses tentent de minimiser le problème en assurant que ces fraudes sont des cas isolés. Et pour rassurer le client, elles remboursent les pertes, même si elle n'ont aucune obligation légale, l'infection de l'ordinateur étant de la responsabilité du client . Ainsi, la banque de Christophe Ruetsch lui a immédiatement reversé les 14 723 CHF volés.

Pour se prémunir, la centrale d'analyse pour la sécurité de l'information conseille notamment à l'internaute de :

  • Recourir à un pare-feu personnel (firewall)
  • Mettre régulièrement à jour système d'exploitation et les applications
  • Etre prudent en utilisant le courrier électronique



Pourtant, même ces mesures ne sont pas une panacée. L'internaute ne peut que tenter de limiter le risque face à des pirates toujours plus déterminés. Selon l'Office fédérale de la police, les délits économique sur le web doublent chaque année en Suisse. Et au niveau mondiale, la cyber-criminalité rapporterait plus d'argent que le traffic de la drogue.

Commentaires

Portrait de samlerouge
Par samlerouge, le 1 novembre 2007.

Merci pour la PARANOÏA. Mais je ne sais pas si vous savez que par exemple avec le DIRECT NET du CREDIT SUISSE on doit donné un numéro de la SECURE ID une seconde fois si on fait des paiements.Donc si le pirate a réussi a avoir un login et mot de passe, il lui manque toujours l'id SECURE. Mais aussi parler de SPAM comme le dis le sois disant expert, alors que se sont des Chevaux de TROIE qui donne l'accès au Pirate. MERCI de faire des reportages aussi BIDON, pensez à nos impots MERCI BILLAG MERCI LA TSR

Portrait de txRb0y
Par txRb0y, le 2 novembre 2007.

Reportage totalement bidon, ceci n'est que fiction. Etant moi meme ancien pirate il est extremement compliquer d'effectuer ce genre de piratage. Ensuite dire que les banques utilisent un moyen d'authentification à partir de cookies ahahaha franchement svp.. Le système d authtentification de l'e-banking est on ne peut plus sécurisé étant donné que les codes d'accès change tous les x millième de seconde sont cryptés. A moins de virer la victime de sa chaise et faire un virement manuellement il est QUASI IMPOSSIBLE de récupérer une session d'e-banking

Portrait de Alain
Par Alain, le 3 novembre 2007.

Ben dis-don Sam se fâche tout rouge... Probablement que comme tu parles, tu ne dois pas payer 1.- d'impôts, ni Billag...

Quoi qu'il en soit, ce sujet reflète une fois de plus qu'avant tous les anti-virus du monde et toutes les mises à jour qu'on veut, rien ne vaut un utilisateur qui fait attention sur internet et spécialement en manière d'e-mails.

Je pense aussi que lire son courrier sur un Webmail reste la meilleure solution face à un programme qui rapatrie les e-mails style Outlook, Lotus Notes, Thunderbird ou autres.

Encore juste un autre truc, pour se connecter à sa banque, il faut toujours utiliser l'adresse que l'on connaît et ne pas cliquer sur un lien reçu dans un e-mail par exemple.

En tout cas, bon vent à Nouvo qui nous a fait ici un sujet très intéressant et qui concerne à coup sûr beaucoup de monde. Bravo aussi pour le nouveau design du site.

Portrait de Liburn
Par Liburn, le 3 novembre 2007.

Ouais, bonjour la psychose.

Je rejoint samlerouge.

Complètement bidon ce reportage.

J'aime bien le sois-disant expert la. "C'est vraiment simple." Si les utilisateurs ouvrent des spams, et qu'il ouvrent en plus la pièce jointe avec le virus, alors la évidemment, c'est sur que c'est facile.

Si les utilisateurs étaient pas aussi naïfs... pfff

Et la question de la fin: Avez vous confiance en l'e-banking?

Question complétement hors-sujet, puisqu'aucune faille n'a été exploitée du côté de la banque. La question devrait plutot être: "Ouvrirez vous encore des emails louche, et installerez vous la pièce jointe qui s'y trouve?"

Donc pour conclure, c'est l'ordinateur du monsieur qui a été piraté, et non pas la plate-forme E-banking, comme pourrait le laisser croire le titre.

Portrait de samlerouge
Par samlerouge, le 4 novembre 2007.

Apprend ton sujet ce ne sont pas des cas de phishing ici.

Portrait de Sylvain Maret
Par Sylvain Maret, le 4 novembre 2007.

Effectivement, il peut y avoir des risques à l'utilisation du eBanking en Suisse. Mais il faut vraiment les relativiser. Nous avons depuis longtemps en Suisse des système eBanking utilisant l'authentification forte (par exemple, SecurID, Liste à biffer, carte à puce, etc.). Il faut savoir que par exemple la France et bien d'autres pays comme les USA n'ont pas mis ces systèmes de sécurité en place... Donc prudence quant aux chiffres! Effectivement nous recommandons l'utilisation d'un bon antivirus et firewall.

Mais ne soyons pas parano. Les systèmes eBanking Suisse offre un très bon niveau de sécurité.

Sylvain Maret / Architecte sécurité / e-Xpert Solutions SA

Portrait de Berious
Par Berious, le 4 novembre 2007.

@samlerouge:
Oui, mais la plus part des chevaux de trois sont envoyé par spam... Quand à l'id secure de direct net, ce n'est pas pareil pour toutes les banques en ligne... Sinon, super reportage! bravo!

Portrait de un non spécialiste
Par un non spécialiste, le 5 novembre 2007.

de nos jours il apparait defficile d'ouvrire un compte anonyme dans une banque car il a l'obligation de déligence du l'ayant droit économique ( le bénifficiaire des sommes d'argent), alors meme que vous reussi à dérober l'argent vous allez transferer dans quel compte hé ?ne me dit pas que vous l'aurrais en cash

Portrait de Objecteur
Par Objecteur, le 5 novembre 2007.

Bonjour à tous,

le contenu technique du reportage est certes discutable mais s'agissant d'un reportage destiné à un grand public, je peux comprendre certains raccourcis comme le vol de session sur un site bancaire. La grande majorité des banques ont déployé des mécanismes de protection comme plusieurs commentaires l'ont déjà fait remarqué. On parle alors d'authentification "forte" (dite "forte" mais il ne s'agit pas ici de se lancer dans un débat technique)

Le reportage reste tout de même largement plus réaliste que la plupart des films (américains) exposant les techniques de hack... Quoique Trinity utilise nmap dans un des matrix :-).

La vraie question est pourquoi plusieurs millions de francs s'envolent chaque année en délits économiques par le web. Et là, il s'agit de faits et non pas de vagues spéculations. C'est ce que le reportage essaie de traduire.

Mathématiquement parlant, les antivirus et firewall sont une condition nécessaire mais pas suffisante pour garantir un bon niveau de sécurité. L'élément de véritable insécurité est l'être humain. La curiosité, l'appât du gain, le goût pour le divertissement, la peur sont les faiblesses exploitées par les attaquants pour parvenir à leur fins quelles qu'elles soient d'ailleurs : vol d'informations personnelles, vol d'éléments d'authentification, installation de backdoors, infection botnet, etc ...

Quelqu'un interroge "Comment peut on être aussi stupide pour cliquer sur une pièce jointe contenant un exécutable" ? Pour un informaticien, cela parait plus qu'évident mais pour le patron d'entreprise moyen, cela ne l'est absolument pas. Mais l'informaticien dans toute son arrogance n'est pas mieux loti que les autres pour autant. J'ai une anecdote amusante à ce propos : Noel est traditionnellement une période de détente. Cette année là, tout le monde se décontracte devant un petit jeu hilarant "Bonhommes de neige". Nous sommes dans une grande banque, pas n'importe où... les accès sont sécurisés par sas et badge personnel... dans le service informatique qui développe LE logiciel (pas plus de détail, NDA oblige..). La morale de l'histoire ? le petit exécutable est arrivé par mail et a été retransmis à 70% du personnel présent en l'espace d'une semaine.

Mais les pièces jointes ou les outils Microsoft ne sont pas les seules menaces. Les pirates utilisent des techniques bien plus sophistiquées; en fait bien trop compliquées pour être exposées dans un reportage. Un document acrobat pdf peut, par exemple, compromettre une machine par exploitation d'une vulnérabilité du logiciel adobe acrobat reader. Certaines de ces vulnérabilités sont connues donc votre anti-virus a une chance de vous protéger.

Quelques mesures simples et efficaces pour tout le monde :
- Ne jamais cliquer sur des liens contenus dans des mails dont vous ne connaissez pas l'expéditeur.
- Si possible, dédiez un poste de travail aux transactions bancaires ou toute opération sensible (touchant donc de près ou de loin au porte-monnaie).
- N'installez pas de programmes "craqués" sur votre machine. Vous savez bien, ce sont ceux qui vous sont donné par un ami ou récupérés sur peer-to-peer. Et souvenez-vous, il suffit d'une fois pour que votre machine soit sous le contrôle d'une personne malveillante.
- Si en vous connectant sur le site de votre banque, vous obtenez un message d'erreur ou d'avertissement sur le certificat, arrêtez immédiatement d'utiliser le service et appelez le support.
- Puis, les traditionnels autoupdate anti-virus et système d'exploitation.
- Attention, les enfants installent des programmes sur votre ordinateur à votre insu. Haa, ces petits chérubins :-)

Une dernière remarque sur les termes :
- virus : un code qui se réplique de fichier en fichier et d'ordinateur en ordinateur; il y a là une notion de propagation et d'instinct de survie (comme en biologie)
- spam : il s'agit de courriers électroniques abusifs qui, en général, se limitent à faire de la publicité et sont diffusés de manière massive
- phishing : des courriers électroniques qui vont tenter de vous amener à rentrer vos informations d'authentification sur un site pirate (soit réplique parfaite du vrai site, soit en situation "Man in the Middle") grâce à un lien à cliquer.
- cheval de troie : c'est le cadeau empoisonné. Mais un cheval de Troie peut contenir un virus :-)

Just my 2 cents avec un discours intelligible par tous (j'espère).

Sinon, bonne initiative le reportage

Un informaticien.

Portrait de raz
Par raz, le 6 novembre 2007.

txRb0y, quand on ne sait pas de quoi on parle....
Les attaques Man-in-the-Middle sont tout à fait possibles. Ici on ne parle pas de bricolage d'amateurs mais de travail de pros.

Portrait de Yann
Par Yann, le 6 novembre 2007.

Quand je lis des commentaires tels que celui de txRb0y, Liburn ou encore samlerouge, ca me fait bien rire. Et qu'en plus on se prenne pour un ancien pirate, c'est encore plus drôle.

La cybercriminalité est une réalité, aussi en Suisse. Je dirais même, surtout en Suisse, vu le nombre de banques.
Travaillant avec plusieurs banques d'Europe, il est tout à fait correct de dire que les banques suisses sont mieux protégées que les autres.

Mais les systèmes actuels d'authentification fortes ne sont plus suffisants. SecurID, IdentityGuard, ... ne protègent pas contre le vol de session. Une fois authentifiée par la banque, il n'y a plus de sécurité....et il est bien là le problème.

Seules des solutions sécurisant la transaction permet d'atteindre un BON niveau de sécurité...des banques y pensent, des solutions arrivent sur le marché, mais il y a encore du chemin à faire.

Pour plus de détails, n'hésitez pas à lire l'excellent rapport de MELANI !

ABE

Portrait de nouvoscope
Par nouvoscope, le 22 novembre 2007.

Laetitia, Madeleine, Vanessa et Virgine. Etudiantes à Polycom Lausanne

Portrait de nouvoscope
Par nouvoscope, le 22 novembre 2007.

Alexandre Poncet(intervention dans le cadre d'un cours sur les nouvelles technologies de l'information)

Portrait de Bernard Pasche
Par Bernard Pasche, le 28 octobre 2008.

dans le ebanking, la seule solution pour éviter le MIM (Man In the Middle), le phishing, le farming, Trojan horses (Cheval de troie) c'est le lecteur connecté USB VEGA de la société Covadis à 1228 Plan-Les-Ouates. Les solutions proposées par la centrale d'analyse pour la sécurité de l'information sont insuffisantes.

Poster un nouveau commentaire

Le contenu de ce champ sera maintenu privé et ne sera pas affiché publiquement. If you have a Gravatar account associated with the e-mail address you provide, it will be used to display your avatar.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de messagerie électronique sont transformées en liens automatiquement.

Plus d'informations sur les options de formatage