Les principales menaces de la banque en ligne pour les prestataires de services financiers (2010)
Phishing, vol de bases de données, usurpation d'identité, attaque... Certes, l’internaute doit faire preuve de discernement quant à la divulgation de ses informations personnelles, mais c’est au prestataires de services financiers de fournir un environnement sécurisé.
IntroductionLa communauté financière est confrontée à la crise économique la plus grave de ces dernières décennies. Aujourd'hui plus que jamais, il est indispensable de réduire les coûts, de retenir les clients, d'améliorer les procédures métiers et de permettre un retour sur investissement positif pour les différents partenaires. La sécurisation d'un environnement réseau de services financiers peut être une tâche extrêmement complexe dans laquelle entrent en jeu non seulement l'objectif primordial qui consiste à assurer la confidentialité et la sécurité des informations financières du client, mais également le respect, dans ce cadre, d'un ensemble de réglementations sectorielles et officielles.
C'est ainsi que le Federal Financial Institutions Examination Council (FFIEC) a émis un certain nombre de recommandations spécifiquement destinées aux banques sur le thème de l'authentification au sein des environnements bancaires sur Internet : "Pour les banques proposant des services financiers sur Internet, ces recommandations décrivent des méthodes d'authentification améliorées qui, selon les régulateurs, devraient être mises en oeuvre par les banques lors de l'authentification des clients utilisant les produits et les services en ligne. Des observateurs effectueront un suivi afin de déterminer les progrès réalisés par une institution financière dans l'application de ces recommandations."1
Les failles de sécurité peuvent avoir une incidence d'une portée considérable, non seulement sur la situation financière d'une société, mais également sur sa réputation. Les sociétés doivent apporter la preuve du respect de ces réglementations et seront tenues responsables en cas de manquement. Tout le monde s'attend à ce que ces informations soient protégées, qu'il s'agisse des clients, des salariés et des partenaires - c'est-à-dire quiconque fait confiance à une société en lui confiant des informations sensibles -. Les institutions financières doivent tenir compte de tous les préjudices potentiels susceptibles de frapper leur activité en cas de perte ou de vol de données sensibles : procès, publicité négative, perte de chiffre d'affaires, perte de la confiance des clients et réputation définitivement entachée.
Des études ont montré qu'à l'échelon mondial le secteur des services financiers était devenu une cible majeure pour les cyber-attaques. Ce n'est guère une surprise si l'on tient compte des informations à forte valeur que recueillent et gèrent quotidiennement l'ensemble des PSF. Selon un rapport du cabinet Javelin Strategy & Research2 datant de février 2010, le total des pertes financières dues à des usurpations d'identité en 2009 s'élevait à 54 milliards de dollars, soit une augmentation par rapport à l'année 2008 (48 milliards de dollars). À elle seule, l'offre d'une gamme étendue de services en ligne ne suffit pas à réduire le taux de rotation des clients ; elle doit être accompagnée de fonctionnalités de sécurité avancées permettant, sur la durée, de gagner la confiance du client et de le fidéliser.
Il est dès lors indispensable que les prestataires de services financiers adoptent une démarche proactive leur permettant d'identifier les menaces potentielles de cyber-attaques ainsi que les zones de vulnérabilité existant au cœur de leur infrastructure. Cet article d'opinion a pour objectif de sensibiliser le secteur des services financiers aux cinq menaces principales pesant sur la banque en ligne ; il présente par ailleurs les solutions recommandées par SafeNet en vue de préparer un système de défense, incluant la création d'un environnement sécurisé pour les transactions effectuées par les clients, tout en respectant les réglementations strictes des pouvoirs publics et du secteur en termes de conformité.
Pas de solution miracle
Auparavant, la plupart des entreprises, notamment dans le secteur des services financiers, pouvaient se tirer d'affaire en instaurant un périmètre de sécurité à l'aide de pare-feu, de dispositifs de détection des intrusions et de logiciels antivirus leur permettant d'éloigner les menaces et de respecter les conditions de conformité. Cependant, on ne peut utiliser n'importe quelle méthode pour éloigner n'importe quelle menace ; il est conseillé d'associer un éventail de solutions pour tenir compte des menaces, des problèmes de convivialité et des besoins spécifiques de l'entreprise, et ce afin de mettre en œuvre une solution forte d'authentification et d'administration. En faisant de la sécurité des identités et des données une composante centrale de leur activité, les PSF peuvent faire un pas important vers le renforcement de la confiance de leurs clients.
Authentification
Toutes les méthodes d'authentification reposent sur un ou plusieurs mécanismes permettant à l'utilisateur légitime de prouver son identité. Cette « preuve » peut faire intervenir un élément connu du seul utilisateur (mot de passe) et d'un élément, difficile à dupliquer, auquel seul celui-ci a accès (jeton ou carte à puce physique). Malheureusement, la plupart des types de preuves d'authentification sont rarement infaillibles : le mot de passe d'un utilisateur peut se deviner, des informations personnelles peuvent facilement être trouvées ou divulguées par l'utilisateur, notamment sur des sites de réseaux sociaux comme Facebook ou MySpace. De même, d'autres personnes peuvent temporairement accéder à un dispositif matériel externe, etc. Ainsi, l'authentification multifactorielle fait appel à l'association d'au moins deux méthodes assurant la protection de l'accès en cas de divulgation du mot de passe ou du jeton. Ces deux éléments sont indispensables pour permettre l'accès, ce qui rend l'usurpation d'identité plus difficile à réaliser.
À l'ère de l'électronique, où le vol d'identités et de données est devenu monnaie courante, il est indispensable d'assurer la protection permanente de l'identité numérique de l'utilisateur. L'authentification multifactorielle utilise au moins deux facteurs pour valider cette identité. Les systèmes d'authentification basés sur des facteurs multiples sont plus difficiles à contourner et constituent dès lors un rempart efficace pour les environnements à haut risque, notamment celui de la banque en ligne. Bien évidemment, l'efficacité d'une méthode d'authentification repose en grande partie sur la qualité du produit ou de la solution choisie ainsi que sur sa mise en oeuvre et son administration.
Une affaire d'arbitrage
On estime souvent que la sécurité est le résultat du simple arbitrage suivant : plus la sécurité est élevée, plus le coût et les inconvénients pour l'utilisateur sont importants. Il suffit ainsi de comparer le coût prévu d'une attaque réussie et celui de l'augmentation des inconvénients pour l'utilisateur, auquel il convient d'ajouter celui du dispositif de sécurité proprement dit. On peut ensuite supposer qu'il est facile de choisir le système adapté lorsqu'on a évalué et équilibré ces deux aspects. Pourtant, on constate que différents mécanismes se comportent différemment devant des menaces sans commune mesure. De surcroît, tous les mécanismes ne peuvent pas être utilisés dans tous les cas de figure : ainsi, certaines méthodes d'authentification ne sont pas adaptées à la banque en ligne.
Les principales menaces pesant sur les services financiers
Les prestataires de services financiers sont confrontés à des problèmes complexes qui ont une incidence directe sur leur bénéfice net et, potentiellement, sur leur survie même au sein d'un marché caractérisé par une forte rotation de clientèle. La protection des données critiques et sensibles, où qu'elles se trouvent, et le contrôle de l'accès à ces données pour les seules personnes autorisées, doivent être au cœur de la stratégie de toute entreprise en matière de sécurité. Avec la recrudescence des menaces qui pèsent sur les données sensibles et l'augmentation des besoins de protection de ces données, les entreprises doivent impérativement accorder la priorité à leur infrastructure de sécurité.
Selon un rapport de 20093 publié par l'Identity Theft Resource Center, les failles de sécurité constatées dans l'entreprise sont passées de 21 à 41 % entre 2006 et 2009, nettement plus rapidement que dans les autres secteurs. Ce rapport souligne également que, pour la première fois depuis trois ans, le nombre des attaques malveillantes a dépassé celui des erreurs humaines. Le chiffre le plus surprenant et le plus troublant souligne que, pour 498 failles rapportées, "seules six entreprises ont indiqué qu'elles disposaient soit de fonctionnalités de chiffrement soit d'autres fonctionnalités de sécurité fortes visant à protéger les données exposées."
Dans une étude4 réalisée par la Verizon Business RISK Team en 2009, 74 % des failles de données provenaient de sources externes et 91 % de tous les cas concernés étaient liés à la criminalité organisée. Le rapport montrait également qu'une des cibles principales de la cybercriminalité était les services financiers et le vol des informations concernant le numéro d'identification personnelle (PIN) ainsi que les données relatives au compte bancaire associé.
Pour les sociétés spécialisées dans les services financiers, l'importance de la protection des données et des actifs financiers ainsi que le maintien de la confiance des clients, salariés et partenaires commerciaux ne sauraient être exagérés. Récemment, une banque texane5 a poursuivi une entreprise cliente dans l'unique but que le tribunal déclare que ses systèmes informatiques étaient raisonnablement sécurisés. Ce procès faisait suite à la demande de remboursement de fonds non recouvrés au motif que le vol était survenu à cause d'un manquement de la banque, qui, selon ce client, n'avait pas mis en œuvre des mesures de sécurité adaptées. Il s'agit certes d'une réaction inhabituelle face à un incident de faille de données, mais il montre bien l'importance de la sécurité et de la responsabilité dans le secteur des services financiers.
Hameçonnage (phishing) - Bien que les mots de passe puissent être facilement obtenus par des moyens moins sophistiqués (indiscrétion, devinette, fouille dans corbeille et observation par-dessus l'épaule - shoulder-surfing en anglais), l'hameçonnage est une forme répandue de cybercriminalité habituellement effectuée par courrier électronique ou messagerie instantanée ; il s'agit de fournir des liens ou des instructions aiguillant le destinataire du message vers un site Web frauduleux ressemblant à s'y méprendre au site légitime. L'utilisateur saisit sans se méfier ses informations personnelles (nom d'utilisateur, mot de passe, numéro de Sécurité Sociale et numéro de carte de crédit/numéro de compte) qui sont alors recueillies par le pirate. Les escroqueries par hameçonnage touchent particulièrement la banque en ligne, les services de paiement et les sites de réseaux sociaux.
Selon l'étude Gartner précédemment citée6, les attaques par hameçonnage continuent de peser financièrement sur les consommateurs et les institutions financières, la tendance étant vers une augmentation du volume et une baisse des montants. L'étude a montré que plus de cinq millions de consommateurs américains avaient subi un préjudice financier suite à des attaques d'hameçonnage entre septembre 2007 et septembre 2008, soit une progression de 39,8 % du nombre de victimes en un an.
Vol des bases de données de mots de passe - Les identifiants dérobés constituent une marchandise de valeur et, bien souvent, les cercles de la cybercriminalité sont constitués à seule fin d'obtenir ces informations, de les revendre au plus offrant ou de les utiliser pour accéder aux comptes des utilisateurs. Les pirates informatiques volent les données et les mots de passe des utilisateurs sur le site Web de l'opérateur afin de pirater d'autres sites. Étant donné que beaucoup de gens utilisent le même identifiant et le même mot de passe pour plusieurs sites, le pirate peut s'attaquer à différents comptes du même utilisateur.
Le cheval de Troie Sinowal est une attaque largement connue mise au point il y a plusieurs années par un groupe de cybercriminels responsables du vol d'identifiants de connexion de quelque 300 000 comptes bancaires en ligne et d'un nombre quasi identique de comptes de cartes de crédit. Fin 2009, Microsoft Hotmail7, Google Gmail, Yahoo et AOL ont été victimes d'attaques d'hameçonnage qui ont mis à mal des milliers d'identifiants et de mots de passe de comptes de messagerie.
Attaque de type Man-in-the-Middle, MitM - Dans ce type de menace, l'agresseur peut de manière active injecter des messages de sa fabrication dans le trafic entre la machine de l'utilisateur et le serveur d'authentification. L'une des techniques utilisées par les attaques MitM est celle du dévoiement (pharming en anglais), qui fait appel à l'utilisation d'infrastructures réseau malveillantes (points d'accès sans fil frauduleux ou serveurs DNS corrompus) pour rediriger les internautes depuis le site légitime auquel ils veulent accéder vers un site Web frauduleux qui accède aux identifiants de l'internaute et agit en son nom pour effectuer des actions malveillantes.
Attaque de type Man-in-the-Browser, MitB - Le MitB est un cheval de Troie ; c'est une variante de l'attaque de l'homme du milieu. Il infecte le navigateur Web de l'internaute; il modifie et intercepte les données transmises par l'internaute avant qu'elles ne parviennent au mécanisme de sécurité du navigateur. Une attaque de type MitB dans le navigateur modifie les pages Web et le contenu des transactions de manière indétectable par l'internaute et l'application hôte. "Silentbanker" est un exemple bien connu d'attaque MitB visant les transactions bancaires. Il fait appel à un cheval de Troie pour intercepter et modifier la transaction avant de l'aiguiller vers le compte du pirate.
Usurpation d'identité - L'usurpation d'identité fait référence à tous les types de criminalité dans lesquels une personne obtient et utilise de manière illégale les données personnelles d'autrui par tromperie ou fraude, habituellement à des fins pécuniaires. En disposant d'un nombre suffisant d'informations personnelles sur un individu, un cybercriminel peut usurper l'identité d'une personne pour commettre différents délits. Il est possible d'usurper l'identité en mettant en oeuvre de nombreuses méthodes, qu'elles soient extrêmement basiques comme la falsification de chèques et le vol de courriers électroniques ou plus sophistiquées comme les logiciels espions (spyware en anglais) et les explorations de données (data mining) sur les réseaux sociaux. Le tableau suivant8 présente les sites bien connus du Web social qui ont fait l'objet d'attaques.
Solutions de protection de l'identité et des données
Pour résumer, quelles sont les bonnes et les mauvaises méthodes ? Nous débutons cette analyse par une description des propriétés permettant de contrecarrer les attaques que nous considérons comme les plus dangereuses pour le secteur des services financiers.
Hameçonnage - Ces attaques piègent les internautes et les poussent à donner leurs informations personnelles. Les internautes reçoivent de faux courriers électroniques qui les entraînent à leur insu vers des sites Web imitant à s'y méprendre des sites légitimes. De nombreux internautes l'ouvrent, tombent dans le piège et se retrouvent à saisir des informations personnelles sur un site Web frauduleux.
Vol de mot de passe et usurpation d'identité - Ces types d'attaque reposent sur la capacité pour le pirate d'induire les internautes en erreur afin qu'ils donnent leurs informations et leurs identifiants personnels. Dans la mesure où les internautes sont habituellement vulnérables à ce type d'attaque, toute méthode reposant sur un identifiant susceptible d'être divulgué est vulnérable aux attaques d'ingénierie sociale. Il est important de noter que ce type d'attaque ne fait pas intervenir de cession physique, étant donné par ailleurs que les internautes peuvent aisément être abusés par téléphone, courrier électronique ou sur Internet et être amenés à divulguer des informations personnelles ; malgré tout, il est peu probable qu'ils confient à un inconnu leur carte à puce ou leur jeton physique, pas plus qu'ils ne confieraient leurs clés ou leur carte de crédit.
En revanche, le stockage sécurisé matériel et les cartes à puce ne sont pas cessibles et ne sont pas facilement duplicables ; ils sont donc moins vulnérables à l'ingénierie sociale. Le statut du stockage sécurisé logiciel et des cartes à puce logicielles dépend fortement de la nature de la mise en oeuvre. Souvent, elle permet à un utilisateur de réaliser un copier-coller des identifiants, de les rendre cessibles et donc vulnérables. Pour autant, il est possible d'empêcher l'utilisateur de parvenir à ce résultat (en l'absence de connaissances approfondies en matière de piratage), auquel cas c'est une solution qui apporte un certain degré de protection.
Attaques de type Man-in-the-Middle, MitM - Ce type d'attaque ne peut réussir que si le pirate peut imiter chaque point d'extrémité tout en garantissant la satisfaction de l'autre. Le recours à une authentification SSL utilisant une autorité de certification fiable apporte une protection forte contre les menaces MitM. Lorsque la validation du certificat repose sur l'utilisateur, il est possible que celui-ci ne valide pas correctement les certificats du serveur et qu'il déclique les messages d'avertissement. Dès lors, en cas d'utilisation d'une solution d'authentification à base de certificats, la responsabilité incombe habituellement à la banque, qui doit vérifier si le certificat de l'utilisateur est valide et ne pas autoriser l'ouverture d'une session si le certificat ne correspond pas à celui qui se trouve dans son système informatique.
Bien que le système SSL avec authentification serveur rende difficiles les attaques de type MitM, elles restent possibles, notamment au moyen de l'hameçonnage. Nous attirons l'attention sur le fait que les mots de passe à usage unique présentent un avantage : en effet, le vol de l'identifiant ne fournit au pirate qu'un seul et unique accès (ce qui n'est pas le cas lors du vol d'un mot de passe ou d'un identifiant ordinaire situé sur un moyen de stockage sécurisé, qui donne au pirate un accès permanent à long terme). Les dégâts sont limités, même si la vulnérabilité existe bel et bien. La mise en oeuvre la plus efficace des cartes à puce/jetons fait intervenir le dispositif associé à un identifiant et à un mot de passe pour une authentification sécurisée à double facteur.
Attaque de type Man-in-the-Browser, MitB - On provoque une attaque MitB en infectant le navigateur d'un internaute au moyen d'un addiciel (add-on) ou d'un module d'extension (plug-in) qui effectue des actions malveillantes. En principe, dès que la machine de l'internaute est infectée par ce logiciel malveillant, le pirate peut effectuer exactement les mêmes actions que l'utilisateur de la machine et peut agir en son nom. Si l'utilisateur se connecte sur son compte en banque alors qu'il est infecté, le pirate peut effectuer toutes les opérations bancaires que l'utilisateur est lui-même en mesure d'effectuer. En étant invoqué par le navigateur lors de la navigation sur Internet, ce code peut reprendre la session à son compte et effectuer des actions malveillantes à l'insu de l'utilisateur.
Un bon moyen de contrecarrer les attaques MitB consiste à vérifier les transactions à l'aide de la technologie Out-of-Band (OOB), dans laquelle l'identité d'un utilisateur est vérifiée via un canal distinct (téléphone). Le recours à un canal distinct réduit le risque de corruption à la fois de l'Internet et du canal additionnel. C'est notamment ce qui se produit dans les grands environnements financiers. Lorsqu'un utilisateur initie une transaction (transfert de fonds), les informations peuvent être enregistrées et renvoyées à l'utilisateur par l'intermédiaire d'un appel téléphonique automatique ou d'un SMS pour vérification avant traitement de la transaction. La réponse de l'utilisateur est donnée soit par serveur vocal interactif (en anglais Interactive Voice Response, IVR) soit au clavier de l'ordinateur. Avec ces deux approches, l'utilisateur doit disposer d'une connexion par téléphone mobile au cours de la transaction.
Une autre approche fait intervenir l'utilisation d'un navigateur Internet portable sécurisé lancé depuis un token USB émis par la banque après l'insertion du dispositif et la saisie du mot de passe par l'internaute. Après la réussite de la connexion, l'utilisateur est acheminé directement vers le site Web de la banque émettrice. L'utilisation d'un navigateur « propre » et non infecté permet de garantir l'absence de logiciel malveillant dans ce dernier.
La détection de la fraude permet également de limiter les préjudices liés à une attaque MitB. Bien que le suivi de la fraude intervienne a posteriori, une fois qu'une menace a été détectée, elle peut fournir à l'institution financière concernée des informations utiles sur les types de menaces dont est victime son infrastructure. L'analyse du comportement de l'internaute et le reporting de tendances prévus par la plupart des programmes de détection de la fraude peuvent permettre aux PSF de déterminer le risque lié à certains types de transaction. Pour autant, la détection de la fraude à elle seule n'apporte que peu de tranquillité d'esprit en l'absence d'une stratégie de défense parfaitement organisée. En fonctionnant avec une authentification forte des utilisateurs, les menaces peuvent être repérées et contenues et les utilisateurs autorisés peuvent disposer d'un accès sécurisé à leurs comptes.
Conclusion
Pourquoi les sociétés spécialisées dans les services financiers doivent-elles envisager sérieusement la mise en œuvre d'une authentification forte ? La réponse nous ramène à notre point de départ : c'est une question de confiance. Lorsqu'il existe une procédure d'authentification forte, le client peut avoir l'assurance que ses transactions financières sont privées et protégées. Plus la confiance des clients est grande, moins le taux de rotation de la clientèle est élevé et plus les volumes de transactions sont importants, ce qui entraîne une augmentation du chiffre d'affaires pour le prestataire de services financiers.
Avec une solution de sécurité ancrée dans une authentification forte, l'institution financière peut avoir l'assurance d'être en conformité avec les réglementations sectorielles et officielles (directives FFIEC, Bâle II, norme PCI DSS, loi GLBA), ainsi qu'avec la législation Identity Theft Act et les directives FDIC et DigSig. Avec l'intensification des menaces et le nombre croissant des réglementations, un plan de sécurité fondé sur une authentification robuste à double facteur place les institutions financières sur le pied de guerre, ce qui permet à leurs clients, salariés et partenaires d'avoir confiance en elles.
Les transactions financières, les procédures de paiement et les échanges inter-entreprises en ligne reposent sur l'intégrité des identités et des données. D'autres opérations soumises au facteur temps (envoi de documentation, calcul de factures et opérations sur actions) doivent pouvoir faire l'objet de contrôles. L'utilisation de produits multiples et disparates donne lieu à des failles de sécurité et à des environnements hétérogènes qui sont coûteux en termes d'administration, créent des problèmes de compatibilité, introduisent des vulnérabilités et sont problématiques pour la croissance future. L'authentification forte est la méthode la plus directe et la plus économique pour vérifier que tout utilisateur cherchant à accéder à des applications et à des données sensibles est bien un tiers autorisé disposant des autorisations voulues pour visualiser, copier et modifier ces données.
1 Federal Financial Institutions Examination Council. "Authentication in an Internet Banking Environment." 2006.
2 Javelin Strategy & Research. "2010 Identity Fraud Survey Report Consumer Version: Prevent - Detect - Resolve." février 2010.
3 Identity Theft Resource Center. "ITRC Surveys & Studies, Breaches 2009." 8 janvier 2010. Web.
4 Verizon Business RISK Team. "2009 Data Breach Investigations Report." 2009. MC13626 0409. Web.
5 http://www.computerworld.com/s/article/9149218/Bank_sues_victim_of_800_000_cybertheft
6 Gartner, Inc. "Banks Need to Strengthen User Authentication While Appeasing Consumers." Mai 2008. ID G00158229.
7 http://news.cnet.com/8301-17939_109-10367348-2.html 8 The Business Model Behind eCrime.