Jean-Marc Blost et Olivier Busolini ont fait la démonstration d'une attaque
de type Man in the middle contre un utilisateur d'un service de banque
en ligne. Par le biais d'un cheval de Troie transmis via un fichier Excel piégé
joint à un email, ils sont parvenus à se glisser dans la transaction réalisée
par l'utilisateur.
Le code s'avère en fait être une extension intégrée au navigateur Web. Il va
examiner le code de la page ouverte par l'internaute et rechercher des mots clefs
pour les remplacer. Ainsi, lors d'un virement, le cheval de Troie, de manière
transparente pour la banque et le client, va modifier un compte destinataire.
La démonstration date toutefois de plus d'un an, expliquent les deux experts
qui, pour d'évidentes raisons de sécurité n'avaient pu faire connaitre leurs travaux.
Tous deux reconnaissent que, depuis, des progrès ont été faits, notamment par
les banques. Si d'autres attaques ne peuvent s'appliquer, c'est avant tout du
fait des limitations imposées par les sites bancaires.
Si ceux-ci souhaitent un jour étendre l'éventail d'opérations, il leur faudra
passer par des solutions de sécurité empêchant les interceptions, comme l'envoi
de SMS. La règle : le poste utilisateur ne peut être considéré de confiance et
la solution de sécurité, tierce, ne doit pas générer un niveau de contrainte excessif.
|