Les attaques « Man-in-the-mobile »
Article partenaire - Comarch

Photo d'illustration
DR
Article partenaire - Comarch

Photo d'illustration
DR
Il est facile de contrôler l'accès à l'appareil lui-même de manière assez efficace. Mais il nous est beaucoup plus difficile de le protéger contre les logiciels malveillants.
Le nombre de malwares qui échappent aux dispositifs de sécurité de Google Store est encore assez conséquent. D'après McAfee, 2017 a été une année déterminante : un total de 4.000 types de menaces a été identifié cette année-là, et chacun d'eux a été trouvé dans une dizaine de variétés. Le nombre total de malwares dans le secteur de la cybermonnaie a augmenté de 70% et de 60% dans le secteur bancaire mobile.
C'est là que tout se complique, car : tout d'abord, le marché est dominé par deux systèmes d'exploitation mobiles ; et ensuite, parce que nos habitudes nous poussent à être réticents quand il s'agit de mettre à jour et étendre nos dispositifs de sécurité, ce qui rallonge très souvent le temps nécessaire pour effectuer une opération donnée, comme le fait de se connecter par exemple.
Cependant, il existe des risques contre lesquels il nous est quasiment impossible de nous défendre. Ceux dont l'apparition ne peut être contrôlée. L'un d'entre eux est le clonage de carte SIM : une procédure efficace exécutée en mode « furtif ». Vous êtes suivis pendant des semaines, et frappés au moment où vous vous y attendez le moins. Et même à ce moment-là, vous n'êtes pas conscient de ce qu'il se passe.
Tout d'abord, un hacker installe un logiciel espion sur votre téléphone pour intercepter vos données de connexion bancaire. Ensuite, une fois les informations utiles obtenues, il réussira à fabriquer une fausse carte d'identité et, en la présentant, obtiendra une copie de votre carte SIM auprès de votre opérateur.
Il ne lui restera donc plus qu'à se connecter au réseau du téléphone pour effectuer un ordre de virement et recevoir un SMS contenant un code de validation. Une carte nouvellement enregistrée (copie) provoquera des problèmes avec votre connexion réseau, et donc toute éventuelle perte de réseau ou déconnexion devra être le premier signe que quelque chose d'anomale est en train de se passer.
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

Cette méthode rapporte énormément. Des centaines de milliers d'euros sont souvent détournés d'un seul coup, et envoyés directement sur les marchés des cybermonnaies (où ils disparaissent ensuite sans laisser de trace), ou sont retirés à la fois massivement et de manière coordonnée via des guichets, dans des endroits différents et au même moment.
Dans l'industrie financière, l'utilisation de jetons mobiles pour les processus d'authentification et de validation semble être une bonne solution. Le mieux serait même d'opter pour un appareil cryptographique dédié satisfaisant aux exigences de sécurité les plus strictes.
Ces solutions enregistrent toutes les tentatives d'activation d'un nouveau téléphone. Avec le processus d'« appariement » adéquat, personne ne pourra usurper votre identité - même si vous avez une copie de votre carte SIM.
Cette méthode est entièrement contrôlée par une banque et vous pouvez être certain que l'opérateur mobile n'ouvrira aucune brèche lors des transactions bancaires en les remplaçant par les leurs.
Les jetons d'autorisation mobiles les plus efficaces utilisés pour les transactions peuvent également proposer un système de détection d'attaque ainsi qu'un modèle WYSIWYS (What You See Is What You Sign). Les données de transaction doivent être réentrées sur un autre appareil, sur lequel l'utilisateur prend la décision finale d'autoriser ou de refuser le virement. Ainsi, aucune modification du montant ou du numéro de compte ne pourra être effectuée sans que l'utilisateur en soit informé lors de la transaction qu'il aura préalablement validée. Il est rare de vérifier que les informations contenues dans le SMS concernant le bénéficiaire et le montant sont correctes.
Les applications de messages traditionnelles sont de moins en moins utilisées : les SMS sont peu à peu remplacés par les groupes de discussion et les applications de messagerie instantanée. Il est maintenant temps de laisser tomber les SMS d'autorisation quand il s'agit d'opérations bancaires. L'ampleur récente des attaques prouve bien que ce mécanisme n'est pas fiable - et que les techniques d'usurpation des copies de carte SIM et des données relatives aux identifiants utilisateurs permettent le contrôle de la totalité du compte bancaire de l'utilisateur. Le cybercriminel peut disposer des fonds collectés par ce biais de la manière dont - et quand - il le souhaite.
C'est le meilleur moment pour commencer à utiliser les procédures d'authentification et de validation modernes et sécurisés, tels que les jetons matériels et les applications mobiles.
Article partenaire - Comarch