Sécurité et e-banking sur terminaux mobiles

Les transactions d'e-banking sur les mobiles se montrent peu sûres

| Mise à jour
par helenel

Des étudiants et chercheurs de la HES bernoise ont montré que les transactions bancaires effectuées via les applications d’e-banking des terminaux mobiles pouvaient facilement être manipulées.

(Quelle: benik.at)
(Quelle: benik.at)

Alors qu’en Suisse l’e-banking est réputé sûr, on connaît moins les risques lorsqu’il est utilisé sur des terminaux mobiles (tablettes et smartphones). Les étudiants et chercheurs du Research Institut for Security in the Information Society (RISIS) de la Haute école spécialisée bernoise se sont interrogés sur la sécurité des transactions d’e-banking quand elles sont effectuées via un terminal mobile. 

Après avoir établit un scénario d’attaque via smartphone, ils ont rapidement réussi à manipuler la transaction ainsi que l’affichage du code de transaction, et ce uniquement à l'aide d'un smartphone. Ils sont parti du principe de sécurité de la banque part qui veut que l’enregistrement de la transaction et l’affichage du code de transaction ne peuvent être lus que par l’être humain et passent par plusieurs appareils. «Cette séparation est surmontée à l’aide du Smartphone, explique le communiqué de l'école, et l’affichage du code de transaction peut être manipulé ; des logiciels malveillants peuvent dès lors activer de manière autonome d’autres transactions cachées.» La transaction frauduleuse ne peut être découverte que plus tard, lorsque l'utilisateur consulte son extrait électronique du compte sur un appareil non manipulé ou en contrôlant le compte reçu par la poste.

Reto Koenig, Professeur d’informatique à la Haute école spécialisée bernoise, précise: «La manipulation des appareils smarts et leurs applications est devenue très facile à l’ère cloud. Les navigateurs manipulés peuvent installer de manière autonome et invisible des programmes malveillants. La sécurité des solutions e-banking établies n’est plus garantie. Même le bon sens déclaré des utilisateurs n’y peut rien. Un e-banking sûr via smartphone n’est possible que si les banques proposent un Security Token avec affichage et clavier fiables.» 

Des mises en garde sur l’e-banking

La Centrale d'enregistrement et d'analyse pour la sûreté de l'information Melani a par ailleurs diffusé de nouvelle mise en garde concernant l’e-banking. La première concerne une nouvelle vague d’attaques visant les sessions d’e-banking avec signature des transactions par SMS. Un logiciel malveillant installé sur l’ordinateur de l’utilisateur l’invite à installer un nouveau certificat de sécurité  lorsqu’il s'identifie sur son compte e-banking. Il doit donner son numéro de téléphone ainsi que la marque de son appareil. Un SMS l’informe ensuite qu’il doit installer le nouveau certificat sur son téléphone portable. C’est en fait un programme malveillant qui permet d'intercepter les SMS utilisés pour la  signature des transactions et d'effectuer des transactions frauduleuses. Melani conseille aux personnes qui reçoivent ce type de message sur leur ordinateur de se déconnecter de leur session d’e-banking et de prendre contact avec leur banque. 
La deuxième mise en garde concerne cette fois des e-mails d’hameçonnage demandant à la victime d’indiquer son numéro de compte et son numéro de téléphone. Les escrocs contactent ensuite leur victime par téléphone pour lui tenter de lui soutirer son mot de passe et le deuxième élément de sécurité sous prétexte d’améliorer les mesures de sécurité. Elles peuvent ainsi se connecter au compte bancaire de la victime.

Kommentare

« Plus