Les attaques « Man-in-the-mobile »

 |   |  992  mots
(Crédits : DR)
Généralement, nous ne quittons jamais notre domicile sans ces trois choses : nos clés, notre portefeuille et notre téléphone. Les deux premiers éléments peuvent facilement être remplacés par le troisième. Mais gérer son argent en utilisant un écran de quelques centimètres de diamètre n’est pas vraiment une mince affaire.

Il est facile de contrôler l'accès à l'appareil lui-même de manière assez efficace. Mais il nous est beaucoup plus difficile de le protéger contre les logiciels malveillants.

Le nombre de malwares qui échappent aux dispositifs de sécurité de Google Store est encore assez conséquent. D'après McAfee, 2017 a été une année déterminante : un total de 4.000 types de menaces a été identifié cette année-là, et chacun d'eux a été trouvé dans une dizaine de variétés. Le nombre total de malwares dans le secteur de la cybermonnaie a augmenté de 70% et de 60% dans le secteur bancaire mobile.

C'est là que tout se complique, car : tout d'abord, le marché est dominé par deux systèmes d'exploitation mobiles ; et ensuite, parce que nos habitudes nous poussent à être réticents quand il s'agit de mettre à jour et étendre nos dispositifs de sécurité, ce qui rallonge très souvent le temps nécessaire pour effectuer une opération donnée, comme le fait de se connecter par exemple.

Furtif et efficace

Cependant, il existe des risques contre lesquels il nous est quasiment impossible de nous défendre. Ceux dont l'apparition ne peut être contrôlée. L'un d'entre eux est le clonage de carte SIM : une procédure efficace exécutée en mode « furtif ». Vous êtes suivis pendant des semaines, et frappés au moment où vous vous y attendez le moins. Et même à ce moment-là, vous n'êtes pas conscient de ce qu'il se passe.

Tout d'abord, un hacker installe un logiciel espion sur votre téléphone pour intercepter vos données de connexion bancaire. Ensuite, une fois les informations utiles obtenues, il réussira à fabriquer une fausse carte d'identité et, en la présentant, obtiendra une copie de votre carte SIM auprès de votre opérateur.

Il ne lui restera donc plus qu'à se connecter au réseau du téléphone pour effectuer un ordre de virement et recevoir un SMS contenant un code de validation. Une carte nouvellement enregistrée (copie) provoquera des problèmes avec votre connexion réseau, et donc toute éventuelle perte de réseau ou déconnexion devra être le premier signe que quelque chose d'anomale est en train de se passer.

Cette méthode rapporte énormément. Des centaines de milliers d'euros sont souvent détournés d'un seul coup, et envoyés directement sur les marchés des cybermonnaies (où ils disparaissent ensuite sans laisser de trace), ou sont retirés à la fois massivement et de manière coordonnée via des guichets, dans des endroits différents et au même moment.

Les options qui s'offrent à vous

Dans l'industrie financière, l'utilisation de jetons mobiles pour les processus d'authentification et de validation semble être une bonne solution. Le mieux serait même d'opter pour un appareil cryptographique dédié satisfaisant aux exigences de sécurité les plus strictes.

Ces solutions enregistrent toutes les tentatives d'activation d'un nouveau téléphone. Avec le processus d'« appariement » adéquat, personne ne pourra usurper votre identité - même si vous avez une copie de votre carte SIM.

Cette méthode est entièrement contrôlée par une banque et vous pouvez être certain que l'opérateur mobile n'ouvrira aucune brèche lors des transactions bancaires en les remplaçant par les leurs.

Il existe des solutions (comme tPro ECC) qui sont équipées de dispositifs servant à se prémunir contre les attaques à distance lorsque l'utilisateur n'est pas sur son poste de travail (HPD - Détection de Présence Humaine). Il est également possible de renforcer ces mécanismes en utilisant des services répandus comme Gmail ou Facebook. Grâce à cela, excepté pour le compte bancaire, vous pourrez également contrôler l'accès aux autres ressources importantes de l'utilisateur.

Les jetons d'autorisation mobiles les plus efficaces utilisés pour les transactions peuvent également proposer un système de détection d'attaque ainsi qu'un modèle WYSIWYS (What You See Is What You Sign). Les données de transaction doivent être réentrées sur un autre appareil, sur lequel l'utilisateur prend la décision finale d'autoriser ou de refuser le virement. Ainsi, aucune modification du montant ou du numéro de compte ne pourra être effectuée sans que l'utilisateur en soit informé lors de la transaction qu'il aura préalablement validée. Il est rare de vérifier que les informations contenues dans le SMS concernant le bénéficiaire et le montant sont correctes.

Bye, bye les SMS

Les applications de messages traditionnelles sont de moins en moins utilisées : les SMS sont peu à peu remplacés par les groupes de discussion et les applications de messagerie instantanée. Il est maintenant temps de laisser tomber les SMS d'autorisation quand il s'agit d'opérations bancaires. L'ampleur récente des attaques prouve bien que ce mécanisme n'est pas fiable - et que les techniques d'usurpation des copies de carte SIM et des données relatives aux identifiants utilisateurs permettent le contrôle de la totalité du compte bancaire de l'utilisateur. Le cybercriminel peut disposer des fonds collectés par ce biais de la manière dont - et quand - il le souhaite.

C'est le meilleur moment pour commencer à utiliser les procédures d'authentification et de validation modernes et sécurisés, tels que les jetons matériels et les applications mobiles.

Si ces dernières restent compatibles avec la cryptographie asynchrone pour protéger les communications avec le serveur bancaire (tel que tPro Mobile), nous renforçons la protection de données, ce qui rend impossible pour le cybercriminel de lire ces données. La compatibilité avec les systèmes biométriques (empreinte digitale, reconnaissance faciale) permet une authentification rapide et appropriée, réduisant ainsi le temps nécessaire à l'autorisation d'accès aux données.

Pour en savoir plus sur certaines solutions : https://www.comarch.com/cyber-security/

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 28/10/2019 à 14:56 :
Y'a aussi la solution ne de plus se connecter à sa banque via son smartphone, voir de n'avoir qu'un simple téléphone sans accès à internet [j'avais toujours pensé que les smartphones, les tablettes et les objets connectés étaient les pires appareils en matière de sécurité, et chaque article sur le sujet conforte mon avis !!].

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :