Depuis quelques jours, une petite dizaine de personnes est en garde vue à Toulouse pour avoir piraté des comptes de la Banque postale en effectuant des virements frauduleux. Montant du préjudice : plus de 800.000 euros. Mais quel était le mode opératoire de ces pirates ? En effet, pour effectuer des virements bancaires frauduleux, les criminels doivent, au préalable, s’enregistrer comme destinataire. Or, cette opération est protégée par un système dénommée « Certicode », un protocole d’authentification forte : lorsqu’un utilisateur veut rajouter une adresse bancaire, il reçoit un code de validation par SMS qu’il doit renseigner au niveau de l’application web. A priori, l’obstacle à surmonter est donc assez élevé. Existerait-il une faille dans l’application bancaire ?
Interrogé par 01net, la filiale de La Poste a affirmé que leurs outils étaient hors de cause, infirmant ainsi ce que l’on pouvait lire dans la plupart des articles de presse d’hier. Les pirates se seraient appuyés d’une part sur du phishing pour récupérer les identifiants, et d’autre part sur des malwares mobiles pour intercepter les codes de validation sur les smartphones. A ce titre, le service de communication de la Banque postale nous a communiqué une série de bons conseils aux utilisateurs. Par exemple : « ne répondez jamais aux emails qui pourraient vous être adressés au nom de la Banque postale » ou « installez un antivirus sur votre smartphone ». L’établissement bancaire souligne, par ailleurs, que toutes les victimes ont été remboursées.
D’autres solutions existent
Quoi qu’il en soit, même s’il n’y a pas de réelle faille dans le système de sécurité de la Banque postale, ce piratage démontre les limites des systèmes de sécurité avec code de validation par smartphone. Etant donné que les terminaux mobiles sont de plus en plus en ligne de mire des pirates, on ne peut plus les considérer comme un second facteur d’authentification fiable. L’avenir des systèmes tels que Certicode semble donc compromis à terme. D’ailleurs, certaines banques ont d’ores et déjà sauté le pas, en proposant des moyens alternatifs. Crédit Mutuel et CIC demandent, en plus du code dynamique envoyé par SMS, un code à piocher dans une grille imprimé sur papier. A la Banque populaire, le code dynamique est généré par une clé cryptographique au format clé USB.
Il existe une seconde raison pour bannir le smartphone parmi les outils d’authentification. De plus en plus d’utilisateurs font leurs transactions depuis leur terminal mobile. Dans ce cas, les deux facteurs d’authentification – identifiant/mot de passe et code de validation – sont donc réalisés sur le même support, ce qui annule le niveau de sécurité que ce système est censé donner.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
