1. /
  2. Confident Insights Newsletter/
  3. Sécurité pour tous les types de transactions bancaires
  • Ajouter

Sécurité pour tous les types de transactions bancaires

10 novembre 2009

Résumé

Cet article examine les risques majeurs associés à la sécurité des transactions bancaires et indique comment les institutions financières qui mettent en œuvre de puissantes solutions de sécurité peuvent s'en servir pour gagner la confiance de leurs clients.
Quel est le danger lorsque le client d'une banque est victime d'une attaque de phishing ? Ou lorsqu'un réseau ATM est compromis ? Ou lorsque des cybercriminels piratent un smartphone utilisé pour réaliser des opérations bancaires en ligne ?
De plus en plus, on peut répondre que le danger est partout.
Les institutions financières, qui interagissent avec de plus en plus de clients par le biais des moyens électroniques modernes, doivent relever un nouveau défi et assurer la sécurité de chaque moyen de communication utilisé par un client.
Un récent rapport du Gartner Inc.* est révélateur. Il met en effet en évidence l'impact des pertes de données et de la fraude financière sur le comportement des clients et plus particulièrement sur leur activité bancaire.
Selon le Gartner, les victimes de fraude au paiement en ligne et/ou d'opérations frauduleuses sur leurs comptes d'épargne sont cinq fois plus susceptibles de changer de banque en raison de ces problèmes de sécurité, qu'un client moyen.
“Du côté de la banque, c'est un réel problème de désaffection des clients, indiquait Avivah Litan, vice-président et analyste réputé chez Gartner, lors d'une déclaration. “Ces institutions perdent des clients.”
Cet article examine les risques majeurs associés à la sécurité de ces nouveaux outils de communication et indique comment les institutions financières qui mettent en œuvre de puissantes solutions de sécurité peuvent les mettre en avant pour gagner la confiance de leurs clients.

Les cybercriminels affinent leurs méthodes de fraude bancaire ciblant les ATM

L'économie souterraine est de plus en plus sophistiquée, le nombre d'attaques motivées par l'argent augmente de façon exponentielle et les fraudeurs exploitent les failles de sécurité des différents modes de transactions bancaires. Sans épargner les ATM.
Fair Isaac, développeur des scores de risques de crédit FICO largement utilisés, a récemment établit un classement des tendances en matière de fraudes sur les distributeurs/cartes bancaires :
  • Skimming. Les criminels piratent un distributeur de billets de la banque en y installant un faux clavier et un lecteur de carte. La transaction se déroule normalement, sans que le client ne s'aperçoive que sa carte bancaire a été piratée.
  • Retraits fantômes. Le lecteur de carte bancaire du distributeur est bloqué et les clients se retrouvent dans l'incapacité de réaliser une transaction. Le client glisse sa carte dans le lecteur (ignorant qu'il s'agit d'un faux), entre son code secret et le faux lecteur indique qu'il ne peut pas réaliser la transaction.
  • Attaques de type "ram raid". Les criminels s'en prennent physiquement aux distributeurs, directement dans l'enceinte de la banque.
  • Numéros d'identification. Les criminels récupèrent les données de la piste magnétique de la carte chez un commerçant. Ils lancent ensuite un script écrit avec différents codes de cartes bancaires connus sur le site Internet d'une banque jusqu'à ce qu'un de ces codes fonctionne.
  • Changements de codes automatiques. Les cybercriminels passent par le centre d'appel d'un établissement bancaire pour modifier un code secret.
  • Attaques via SMS. Le “smishing”, ou phishing par SMS, est une attaque lancée par le biais d'un SMS (Short Message Service) sur un téléphone portable ou un smartphone.
  • Logiciels malveillants. Des chercheurs spécialisés en sécurité déclarent avoir trouvé un programme malveillant permettant aux criminels de prendre le contrôle des distributeurs. Des rapports font état de l'existence de tels programmes malveillants en Europe de l'Est et en Russie.
Par ailleurs, il faut également prendre en compte les risques qui pèsent sur les institutions financières qui sont en train de réaliser la migration de leurs guichets automatiques (ATM) de leurs anciens réseaux propriétaires vers des réseaux IP (Internet Protocol) ouverts.
Si les guichets automatiques basés sur IP offrent de nombreux avantages, les systèmes basés sur IP qui s'exécutent sous Microsoft Windows peuvent, eux, exposer le réseau des institutions financières à des risques d'infection, d'altération du système et à d'autres menaces. Pour cette raison, il est indispensable de les protéger contre les vers, virus et attaques par déni de service.

Explosion de la fraude en ligne dans une économie en crise

Dans le même temps, les institutions financières consacrent une grande partie de leur temps et de leurs ressources à combattre la fraude en ligne, toujours plus sophistiquée. Un récent rapport du groupe d'étude antiphishing Anti-Phishing Working Group* insiste sur ce fléau et déclare qu'Internet "n'a jamais représenté un tel danger”.
Le groupe APWG indique que “l'ambition des cybercriminels semble illimitée” et qu'ils n'hésitent pas à utiliser des logiciels frauduleux pour cibler les clients des institutions financières.
Mais un fait nouveau pourrait perturber encore plus les institutions financières : les attaques sont désormais dirigées contre les comptes bancaires des entreprises. Ces attaques ciblent le département financier et tentent ensuite de prendre le contrôle des données d'accès aux services bancaires en ligne pour réaliser des transferts d'argent. Auparavant, les attaques de phishing ciblaient uniquement les comptes des particuliers, pas les comptes des entreprises.
“La détérioration de l'image de marque liée à la fraude en ligne est devenue un problème majeur pour les institutions financières, pris très au sérieux par les plus hautes instances” indique Ted Donat, Directeur Général, Product Management Solutions Group, chez Symantec.
M. Donat indique que Symantec prévoit une forte augmentation du nombre de cas de “spear phishing”, particulièrement en Europe en raison du succès de l'informatique mobile. Le "spear phishing" est une forme d'attaque de phishing ciblée où il semble que l'expéditeur du message électronique soit une personne de la même société que le destinataire et en règle générale, une personne ayant un poste à responsabilité.
L'année dernière, le FDIC a détecté une augmentation du nombre de rapports signalant des pertes financières dues à des transferts électroniques de fonds non autorisés.
Récemment, BankInfoSecurity* a signalé que la première entreprise américaine d'énergie et de matériaux de construction avait été la cible d'une escroquerie par scam (message électronique frauduleux) et que ses comptes bancaires avaient été piratés par des cybercriminels d'Europe de l'Est.
Tout a commencé par un message de "spear phishing" qu'un employé de l'entreprise avait reçu et qui semblait provenir de la banque de cette entreprise. L'employé cliqua sur un lien qui se trouvait dans le corps du message et se retrouva ainsi sur un site Web qui ressemblait en tout point à celui de la banque. Une fois le nom d'utilisateur et le mot de passe de la société saisis sur le faux site, les informations furent envoyées aux pirates et 150 000 dollars ont disparu du compte de l'entreprise.

Médias sociaux : problèmes de sécurité et réglementations

Les cybercriminels concentrent de plus en plus leurs attaques sur les centaines de millions d'utilisateurs des réseaux sociaux, tels que Facebook et Twitter.
Wall Street & Technology* a récemment fait part de la décision de la FINRA, instance régulatrice de Wall Street, de surveiller l'utilisation des outils de réseaux sociaux à Wall Street.
“Les sites de réseaux sociaux tels que Facebook ou LinkedIn offrent de nouveaux moyens de connexion, d'information et d'interaction avec les clients”, affirme Rick Ketchum, Président-Directeur Général de la FINRA. “Mais ils posent aussi de nouveaux problèmes en matière de réglementation. Par exemple, leur conception actuelle ne permet ni d'archiver, ni de gérer les communications dans vos propres books et enregistrements.”

Tempête en formation sur la sécurité des mobiles ?

Quel intérêt stratégique constitue le développement des services bancaires mobiles (mobile banking) ? Certains observateurs du secteur affirment que les services bancaires via la téléphonie mobile représentent une demande du marché aussi importante que l'apparition des services bancaires sur Internet à la fin des années 1990.
Alors que le nombre de menaces visant les périphériques mobiles tels que les smartphones est infime pour l'instant par rapport au nombre de menaces visant les PC, Symantec estime que ces périphériques seront les prochaines cibles des cybercriminels. D'ailleurs, les dernières éditions du rapport Symantec Internet Security Threat Report, montrent que les attaques de spam et de phishing ciblent de plus en plus les périphériques “mobiles”.
Il n'est pas difficile de voir pourquoi.
Certains observateurs du secteur affirment qu'une tempête sans précédent se prépare dans le domaine de la sécurité mobile, en raison de trois facteurs clés :
Premièrement, les ventes de smartphones sont en augmentation. Les analystes du Gartner prévoient que les ventes de smartphones vont dépasser celles des ordinateurs cette année.
Deuxièmement, les fonctionnalités techniques des smartphones rattrapent rapidement celles des ordinateurs. En effet, il est désormais possible d'envoyer des messages électroniques, des messages instantanés, de réaliser des opérations bancaires, de faire des achats sur Internet et de surfer sur le Web.
Et pour finir, depuis 2007, le nombre de menaces visant les dispositifs portables a quasiment doublé tous les six mois.
Pour prendre en compte ces nouvelles données, Symantec recommande de protéger ce type de périphériques de la même façon que des ordinateurs portables ou de bureau. Il est donc nécessaire d'installer un antivirus, un antispam pour SMS, un pare-feu et des outils de cryptage des données pour réduire au minimum les risques associés à la perte d'un périphérique.

Conclusion

Les conclusions de l'enquête Gartner* sur l'impact des vols d'identité et d'autres types de fraudes financières apportent aux institutions financières qui implémentent des solutions de protection et des contrôles de sécurité stricts un conseil simple : faites part de vos initiatives à vos clients.
“Les institutions financières qui prennent la sécurité au sérieux seront récompensées par une plus grande fidélité des clients, ce qui n'est pas négligeable quand on sait que le coût d'acquisition de nouveaux clients est beaucoup plus élevé que le coût de fidélisation des clients existants.”
Ce conseil résonne dans les propos de M. Donat de Symantec.
“Pour convaincre vos clients que leur sécurité est assurée à tous les niveaux des transactions, vous devez leur prouver que votre propre système de sécurité est indéfectible” dit-il. “Vous devez créer une culture de la sécurité.”
M. Donat affirme que Symantec permet aux banques d'assurer leur propre protection, celle de leurs employés et de leurs clients grâce aux mesures suivantes :
  • Identification proactive des menaces potentielles à tous les niveaux des transactions bancaires et mise en œuvre de contre-mesures
  • Protection et surveillance du réseau ATM IP grâce à une solution de sécurité intégrée
  • Grande réactivité par rapport aux incidents de sécurité pour regagner la confiance des clients
  • Mise à disposition des clients d'outils de protection éprouvés pour sécuriser les transactions en ligne
Pour en savoir plus, découvrez la solution de sécurité des transactions bancaires de Symantec Multi-Channel Security Solution*.

Retour à la newsletter Symantec