Alors qu'en Suisse l'e-banking est réputé sûr, on connaît moins les risques lorsqu'il est utilisé sur des terminaux mobiles (tablettes et smartphones). Les étudiants et chercheurs du Research Institut for Security in the Information Society (RISIS) de la Haute école spécialisée bernoise se sont interrogés sur la sécurité des transactions d'e-banking quand elles sont effectuées via un terminal mobile.

Après avoir établi un scénario d'attaque via smartphone, ils ont rapidement réussi à manipuler la transaction ainsi que l'affichage du code de transaction, et ce uniquement à l'aide d'un smartphone. Ils sont partis du principe de sécurité de la banque qui veut que l'enregistrement de la transaction et l'affichage du code de transaction ne peuvent être lus que par l'être humain et passent par plusieurs appareils. « Cette séparation est surmontée à l'aide du smartphone, explique le communiqué de l'école, et l'affichage du code de transaction peut être manipulé ; des logiciels malveillants peuvent dès lors activer de manière autonome d'autres transactions cachées.» Cette fraude ne peut être découverte que plus tard, lorsque l'utilisateur consulte son relevé de compte électronique sur un appareil non infecté ou en version papier.

Reto Koenig, Professeur d'informatique à la Haute école spécialisée bernoise, précise: « la manipulation des appareils smarts et leurs applications est devenue très facile à l'ère cloud. Les navigateurs infectés peuvent installer de manière autonome et invisible des programmes malveillants. La sécurité des solutions e-banking établies n'est plus garantie. Même le bon sens déclaré des utilisateurs n'y peut rien. Un e-banking sûr via smartphone n'est possible que si les banques proposent un Security Token avec affichage et clavier fiables.»

Des mises en garde sur les services bancaires en ligne


La centrale d'enregistrement et d'analyse pour la sûreté de l'information Melani a par ailleurs diffusé de nouvelle mise en garde concernant l'e-banking. La première concerne une nouvelle vague d'attaques visant les sessions d'e-banking avec signature des transactions par SMS. Un logiciel malveillant installé sur l'ordinateur de l'utilisateur l'invite à installer un nouveau certificat de sécurité lorsqu'il s'identifie sur son compte e-banking. Il doit donner son numéro de téléphone ainsi que la marque de son appareil. Un SMS l'informe ensuite qu'il doit installer ce certificat sur son téléphone portable. C'est en fait un programme malveillant qui permet d'intercepter les SMS utilisés pour la  signature des transactions et d'effectuer des transactions frauduleuses. Melani conseille aux personnes qui reçoivent ce type de message sur leur ordinateur de se déconnecter de leur session et de prendre contact avec leur banque.

La deuxième mise en garde concerne cette fois des e-mails d'hameçonnage demandant à la victime d'indiquer son numéro de compte et son numéro de téléphone. Les escrocs contactent ensuite leur victime par téléphone pour lui tenter de lui soutirer son mot de passe et le deuxième élément de sécurité sous prétexte d'améliorer les mesures de sécurité. Elles peuvent ainsi se connecter au compte bancaire de la victime.

ICTjournal.ch