Réaliser un virement, commander un chéquier ou consulter son relevé de banques sont aujourd’hui autant d’opérations sensibles réalisées facilement via son ordinateur ou son smartphone. Ces services, plébiscités par les utilisateurs, sont autant d’opportunités de fraude pour les pirates informatiques.
La sécurisation de ces plateformes représente ainsi un triple enjeu pour les banques. Tout d’abord un enjeu financier direct, lié au préjudice que pourraient subir les clients et leur éventuel dédommagement. Enjeu d’image ensuite, les banques devant rassurer sur leur capacité à protéger leurs clients. Enfin, un enjeu de conformité aux directives émises par les organismes régulateurs tels que la Banque de France et la Banque Centrale Européenne.
Que font concrètement les établissements pour sécuriser leur banque en ligne ? Est-ce suffisant ?
La sécurité, intégrée by design aux services bancaires en ligne ?
Sécuriser l’accès au service, premier impératif
La grande majorité des banques françaises requiert la saisie d’un mot de passe composé de quatre à six chiffres, via un clavier virtuel :
- Exemples de claviers virtuels présentés pour l’accès au site
Un nombre plus limité de banques ne propose pas de clavier virtuel mais un champ « classique » de saisie de mot de passe.
Chacune des deux solutions présente ses propres forces.
Le champ « classique » présente l’avantage de pouvoir imposer une politique de mot de passe plus complexe (majuscules, minuscules, chiffres, etc.) qu’une simple succession de chiffres, rendant ainsi le mot de passe plus difficile à deviner. Autre argument en faveur du champ « classique », une personne située à proximité du client a plus de difficultés à identifier les caractères saisis sur un clavier physique que ceux cliqués sur un écran, plus visible.
Le clavier virtuel, quant à lui, est protégé des logiciels malveillants (malwares) les plus basiques de type keylogger. Lorsqu’il est correctement implémenté, il permet également de complexifier la saisie automatisée du mot de passe et ainsi limiter les usurpations d’identités « opportunistes ».
Quelques rares banques françaises ont décidé de mettre en place une authentification non-rejouable pour contrôler l’accès à leurs services. Ainsi, en complément de l’identifiant et du mot de passe, il est nécessaire de saisir un code à usage unique (OTP – one time password) fourni par la banque via SMS, matériel dédié ou encore application smartphone.
Les autres banques ont décidé de n’utiliser ces mécanismes d’authentification non-rejouable que pour la réalisation d’opérations sensibles.
Des opérations « sensibles » sous surveillance
La Banque de France a émis en 2009 des recommandations en matière de protection des opérations en ligne, avec un accent fort sur les opérations sensibles :
Pour la Banque de France, la mise en œuvre d’une authentification non-rejouable (ANR) est indispensable pour protéger l’exécution d’opérations sensibles, notamment les opérations de virement, mais aussi la commande de moyens de paiement, la mise à jour des données du client et l’émission de chèques dématérialisés.
Dans les faits, seul l’ajout de bénéficiaire est considéré comme une opération sensible par l’ensemble des banques françaises.
A l’heure actuelle, la solution la plus répandue pour la validation des opérations sensibles par les particuliers est l’OTP SMS. Ainsi, à chaque demande d’opération sensible, le client reçoit un SMS contenant un code unique qu’il saisit sur la banque en ligne pour valider l’opération.
D’autres solutions sont utilisées, mais de manière minoritaire, comme la carte TAN (grille papier contenant un nombre fini de codes à usage unique) ou le lecteur CAP-EMV (lecteur de carte bancaire muni d’un écran et d’un clavier).
- Autres solutions de validation (EMV, out of band, token, TAN)
Plus récemment de nombreux projets de validation « Out of Band » ont été initiés. Cette solution vise à dissocier les canaux d’initialisation et de validation des opérations, par exemple via l’utilisation d’une application mobile complémentaire au site Internet.
Il est à noter que pour les entreprises, la solution adoptée par la grande majorité des acteurs est le certificat (logiciel ou matériel), qui offre également des fonctionnalités de signature et garantit ainsi la non-répudiation des opérations.
Des cybercriminels qui s’adaptent
Le mouvement de sécurisation des services bancaires a vu les cybercriminels s’adapter. Plusieurs moyens simples permettent aux attaquants de voler les identifiants et mots de passe : messages de phishing menant les victimes sur de fausses mires d’authentification aux couleurs de la banque, déploiement de keyloggers / formgrabbersd, interceptions des flux de communication, etc.
Toutefois, depuis que la réalisation d’opération sensible est protégée par une ANR, la connaissance des identifiants et mots de passe n’est plus suffisante pour appauvrir le compte des clients. Il en est de même pour les malwares les plus basiques, qui sont incapables de contourner ces mécanismes.
Aussi, ces dernières années ont vu se développer des malwares de type Man-In-The-Browser (MITB) dédiés aux banques en ligne. Lors des navigations Web, ils modifient les pages affichées à leur victime et – en parallèle – initient des requêtes en leur nom. Les malwares MITB sont particulièrement adaptés au contournement des authentifications par mot de passe unique.
- Schéma de fonctionnement d’un malware de type Man-in-the-browser
Plus récemment, la tendance est au déploiement de malwares sur smartphone, notamment afin de détourner les OTP SMS émis par la banque.
Au-delà des impacts financiers pour le client, les attaques par malwares entachent également la réputation des banques attaquées, dès lors jugées incapables de garantir la sécurité de leurs clients.
