Autopiratage bancaire
Les victimes de cette vague d'attaque sont, nous explique l'équipe de SecureWorks, essentiellement Australiennes, Néo-Zélandaises, US, Britanniques et Italiennes. Les initiateurs de ce cyberbraquage bancaire par troyen interposé sont des développeurs Allemands travaillant pour le compte d'un groupe Russe. Là encore, les procédés d'intrusion sont connus, mais le mode opératoire change de l'habitude, devient de plus en plus subtile. Par le biais d'une première campagne de « spear phishing » -un phishing très ciblé et personnalisé semblant émis par l'organisme bancaire de la victime-, les techno-malfrats injectent un cheval de Troie sur la machine de la victime. Précisons au passage que l'équidé grec en question prétend prendre la forme d'un certificat... peut-on demander à une personne, même très versée dans l'art d'utiliser un ordinateur, de reconnaitre d'un premier coup d'oeil un véritable certificat d'un autre totalement bidonné ? Le simple fait d'octroyer à l'usager un pouvoir de décision sur la validité d'une autorité de certification est une faille conceptuelle qu'il faudra bien un jour ou l'autre combler. Mais revenons à nos herbivores. Cette haridelle Hélène, une fois n'est pas coutume, ne vole pas de crédence, n'intercepte pas de numéro de compte bancaire. Elle alerte le « péscheur » au moment précis ou le client se connecte à sa banque, et lui permet d'utiliser cette liaison légitime pour y perpétrer tout type d'opération frauduleuse : nul besoin de connaitre les noms et mots de passe du quidam à détrousser, inutile de chercher à contourner des procédés d'authentification à double ou triple facteur... même la biométrie ne peut rien contre un passager clandestin glissé dans un tunnel VPN. C'est là une version binaire et protocolaire de ce que les spécialistes de l'ingénierie sociale appellent le « tailgating », les employés de la RATP de la « fraude au portillon » et les spécialistes de l'histoire antique un... Cheval de Troie. Hélas, dans le domaine de la sécurité, le nom est déjà utilisé par un autre procédé technique. Il ne peut exister que deux parades possibles à cette forfaiture, l'une coté serveur, qui consisterait à détecter des séquences de requêtes html trop rapprochées par exemple -en attendant une véritable analyse comportementale reposant sur le profil de chaque client de la banque-, l'autre du coté du poste client, qui agirait de manière conventionnelle (antirootkit, analyse des processus et échanges au niveau du firewall etc). L'abondance de contre-contre-mesures, l'escalade technologique censée protéger une transaction en ligne (biométrie, codes à usage unique, cartes Token etc) ne serviront à rien tant que l'intégralité de la chaine de communication ne sera certifiée segment par segment et de bout en bout. Malheureusement, depuis l'invention du télégraphe Chappe, personne n'a pu approcher ce Saint Graal. Une partie de la réponse se trouverait-elle dans la fameuse « sensibilisation » ? C'est peu probable. L'efficacité de la sensibilisation s'arrête là ou le discernement humain commence à se brouiller. Plus les clients des banques que nous sommes recevront un enseignement stéréotypé, plus les cybertruands seront capables d'affiner leurs coups. Ce n'est pas une raison pour ignorer ce preux chevalier de la formation antiphishing, Phime.com, qui semble faire preuve d'une approche intelligente. Notamment en ne prenant pas l'usager pour un parfait demeuré. Enseigner comment « Jeter un coup d'oeil » sur le source d'une page html douteuse semble, pour bien des experts en formation, une tâche insurmontable... un mauvais vulgarisateur est toujours en butte à de mauvais élèves. Mais existe-t-il un véritable modèle économique pour une structure -gouvernementale ou entrepreneuriale- spécialisée dans la seule prévention au phishing ?
