|
|
|
Sommaire Le Net |
|
Phishing : les banques françaises en ligne de mire |
Sur les 3.500 attaques de phishing recensées par RSA Security en mars 2006, 60 % concernent les Etats-Unis. Les attaques ciblant les banques françaises restent marginales, mais leur fréquence s'accélère.
(20/04/2006) |
|
La publication du rapport mensuel de RSA Security, fournisseur
américain de solutions de sécurité, a mis en avant le déplacement
géographique des attaques de phishing
: si 60 % des 3.500 opérations recensées ont été dirigées vers les Etats-Unis en mars 2006, le nombre de banques non américaines, qui sont les cibles de la moitié des attaques, tend à augmenter. Après les Etats-Unis,
le Royaume Uni et l'Allemagne sont les pays les plus touchés. 92 % des attaques de phishing recensées en mars 2006 ont été dirigées vers
le secteur financier.
Une attaque de phishing traditionnelle vise à récupérer les
données bancaires de clients en envoyant un mail relié à un
site créé de toutes pièces et ressemblant en tout point à l'interface
en ligne du site de référence. Simple fraude vieille comme le
monde pour certains, le phishing fait partie d'un attirail de
la criminalité en ligne qui se complexifie et touche massivement
les banques internationales. HSBC et Barclays, qui détiennent
des filiales dans de nombreux pays, ont ainsi été les cibles privilégiées
des phishers en 2005. Les fraudes en ligne auraient représenté une
perte de 2,4 millions de livres pour les clients touchés en Grande-Bretagne, d'après le rapport publié par le National Hi Tech
Crime Unit au Royaume Uni en avril 2005. En effet, 3 à 4 % des personnes
ciblées par les attaques deviennent de réelles victimes selon
Websense Security Labs.
La carte mondiale publiée par le Groupe
de travail anti-phishing, une association internationale regroupant banques et industriels, montre une répartition des attaques
concentrées essentiellement sur les Etats-Unis, l'Allemagne
et la Chine, durant les 2 derniers mois. Toutefois, si le phénomène reste marginal en France, il tend à se développer. Bien que des données chiffrées soient très difficiles à obtenir, on sait que plusieurs vagues ont atteint les clients des banques BNP Paribas, Société Générale et Crédit Lyonnais entre février et mars 2006 (lire l'article du 03/02/06). Pour la BNP, l'attaque s'est déclarée le 19 mars 2006 : les clients ont été inondés de mails, mais aucune victime n'a été enregistrée, selon les services de la banque.
"Les banques ont reconnu que les problèmes étaient réels et ont confirmé leur responsabilité dans la protection des données de leurs clients et collaborateurs", affirme Mark Murtagh, directeur technique de Websense pour la zone EMEA.
Car la palette d'action des pirates se densifie et rend la tâche des services de sécurité encore plus ardue : chevaux de Troie, spywares, phishing, pharming (piratage de DNS) sont souvent complémentaires. Alors que les premières attaques enregistrées en France étaient facilement reconnaissables par la langue ou l'orthographe des messages, celles de 2006 se sont perfectionnées et sont plus ciblées : une même attaque, massive, était lancée sur trois ou quatre banques différentes avec le même mode opératoire et depuis le même serveur. Ceci pourrait s'expliquer par l'utilisation des "rock phishing kit", selon la terminologie de Websense, des kits de phishing individuels, qui permettent aux pirates de toucher six à huit sites marchands ou financiers en une seule et même attaque.
Cibles tardives des attaques en phishing, les services financiers français sont encore peu touchés et misent sur la communication préventive pour préparer les clients à d'éventuelles attaques. "La sensibilisation est la meilleure arme contre le phishing", insiste Frédéric Martinez, membre du CERT-IST (Computer Emergency Response Team - Industrie, Services, Tertiaire). Les clients et les collaborateurs prévenus, il est plus difficile de compromettre un système informatique. En publiant des alertes directement après un signalement, BNP Paribas a ainsi évité que de nombreuses attaques n'aient des incidences réelles sur les comptes de ses clients.
Mais les systèmes informatiques de défense doivent également s'adapter à de nouvelles formes d'attaques. En amont, pour signaler automatiquement le problème au responsable informatique ; en aval, pour bloquer des intrusions trop dangereuses et fermer, le cas échéant, un site frauduleux. "Les banques ont mis en place un réseau de correspondants et peuvent désormais surveiller les comportements suspects sur certains comptes en ligne. Si les transferts sont importants, et que l'on a confirmation du détenteur du compte, on peut interrompre une attaque de phishing avant qu'elle n'aboutisse réellement", signale Frédéric Martinez. La combinaison entre le développement de solutions de sécurité informatique pour les collaborateurs en interne et la communication directe à toutes les parties prenantes est décisive pour contrer ces attaques. |
|
|