A bien regarder ce qui tombe dans la corbeille « Spam » des U.A. de messagerie de CSO, il semblerait que l'ouverture de la pêche aux comptes en banque français soit ouverte. Déjà, en début de ce mois, nous avions tiré le signal d'alarme en évoquant cette brusque montée des courriers d'incitation parfaitement francisés. Qui, on s'en doute, ne font pas référence à Bank of America mais à des organismes financiers bien de chez nous.



Un manque notable de sensibilisation

Las, les risques de détournement sont assez élevés, faute de prévention. Si l'on excepte la rubrique de notre éminent confrère Jérôme Colombin sur France Info, aucun mass media ne parle de phishing. Et sans prévention, aucun espoir de protection. Le problème paraît d'autant plus préoccupant que peu de responsables d'agence ont même « entendu » le mot phishing. Interrogés à ce propos, sur 5 banques prises au hasard, tant en province qu'en région parisienne, aucun caissier, aucun chargé de clientèle, aucun responsable d'antenne n'a pu nous donner une explication de ce qu'était le phishing. Une seule personne -un directeur régional de province- a déclaré savoir que c'était là une « méthode d'attaque par Internet », mais sans en appréhender la simplicité du mécanisme. Comment, dans de telles conditions, alerter la clientèle française ?

Pis encore, il a été permis à la rédaction de CSO de lire deux contrats d'abonnement à un « service de consultation de compte par Internet », émis par deux banques totalement différentes. Contrats type qui se ressemblent en tous points, et font vulnérabilité commune, simplifiant notablement le travail des cyber-escrocs.

Les crédences d'accès au compte en banque -login et mot de passe- sont expédiés « en clair » à l'usager, sous pli postal normal et unique, dans un même document. Etonnant de la part d'organismes qui envoient depuis de nombreuses années les numéros de carte de crédit sous enveloppe séparée et sécurisée. Ces mêmes login d'accès et mot de passe figurent sur un document en trois exemplaires, dont deux doivent être retournés à la banque en question et qui finiront leurs jours à portée de la main de n'importe quel employé potentiellement indélicat. Comme on peut le constater, c'est là un second risque de détournement de courrier, de communications des crédences à un tiers, qui repose sur le principe d'honnêteté « par défaut » de tous les employés. La lamentable histoire de Wachovia qui date d'à peine une semaine est une preuve, s'il en fallait, de l'inconscience d'une telle croyance.

Mais ce n'est pas tout. Lesdits contrats d'accès accumulent bourdes, maladresses, erreurs et non-sens. Ainsi, à propos de l'identifiant de session« Le client n'a pas la possibilité de la modifier »... 50 % d'une crédence figée, c'est 50 % de chances de plus pour un attaquant en Brute Force. Plus même, car si cet identifiant n'est pas modifiable, c'est très probablement parce qu'il doit être lié par une « jointure » (une relation) de base de données établissant une correspondance avec le numéro de compte de l'intéressé. Le mot de passe est à changer « le plus vite possible » précise ledit contrat, faute de quoi « la responsabilité de la banque XXX sera totalement dégagée » ... preuve que, si du côté de la DSI de ces banques, on ne sait pas franchement ce qu'est un risque et une menace informatique, les services juridiques, eux, en ont une pleine et entière conscience. Des armées d'avocats qui, avec un aplomb surprenant, profitent de ce détail pour accumuler des clauses léonines excessivement discutables. « Toute interrogation ou tout ordre précédé de la frappe de l'identifiant et du code d'accès est réputé émaner du client lui-même ». Traduisons « si votre compte est piraté par vol d'identité, nous ferons tout ce qui est en notre pouvoir pour que nous n'en supportions pas les conséquences financières». Et ce en totale contradiction avec le nouveau code des banques qui non seulement exige que celles-ci protègent leurs clients contre tout risque de vol d'identité, mais qui insiste également sur la responsabilité de tous les partis en présence... banquier y compris.

Le plus beau pour la fin : « La confidentialité de son code d'accès personnel est assuré par le client, sous sa responsabilité. Il s'interdit de ce fait toute contestation et tout recours à l'encontre de la banque au cas où un tiers accèderait et utiliserait frauduleusement le service de XXX Banque » Autrement dit, tout interception des crédences provoquées par la banque du fait de ses mauvaises pratiques est rejetée sur le client sans autre forme de procès. Passons sous silence les autres précautions visant à nier toute responsabilité dans les conséquences d'un non-fonctionnement du service... avec de telles clauses, pas une seule banque ne peut prétendre se faire certifier ISO « sécurité ».

Ce matin encore, quelques millions d'internautes français recevaient un email intitulé « Societe Generale / BNP Paribas / CIC Banque / Banque CCF », et débutant par la phrase « Dear Societe Generale/ BNP Paribas/ CIC Banque/ Banque CCF Member ». Bien maladroite tentative de vol d'identité rédigée en anglais. D'autres, considérablement mieux forgées, sont écrites dans notre langue, utilisant les logotypes de nos chers, très chers argentiers. Des argentiers qui, manifestement, sont totalement débordés par le problème, et qui cherchent, avant même que de songer à modifier leurs procédures d'accès, à intimider les gens qui leur confient de l'argent.

Pendant ce temps, Bank of America commence à protéger ses accès : question « personnelle », identification physiologique de type « challenge-response », les techniques anti-phishing commencent à apparaître. En Grande Bretagne, l'un des pays européens les plus touchés par le vol d'identité bancaire, les opérations de compte sont de plus en plus soumises à la fourniture d'un code PIN de vérification situé sur une « carte à gratter ». Chaque code est à usage unique, et une nouvelle carte est expédiée dès que la série expédiée au client est sur le point d'être épuisée. Tout çà coûte un peu cher en timbres, mais comparativement à la prise en charge des détournements par phishing ou attaques « man in the middle »... 60 000 identités de clients dans la nature, ça incite à écouter un peu plus les RSSI, un peu moins les avocats.

. Web-profils.com, la place de marché du conseil et de l'ingénierie