Publi-News

Switch to desktop Register Login


Giovanni Verhaeghe, Vasco Data Security : « Les malwares par overlay s’attaquent aux applications bancaires mobiles »

  • mercredi 13 septembre 2017 15:15
  • Taille de police Réduire la taille de la police Réduire la taille de la police Augmenter la taille de police Augmenter la taille de police


Giovanni Verhaeghe, Vasco Data Security Giovanni Verhaeghe, Vasco Data Security

L’authentification forte a longtemps été considérée comme un moyen sûr de contrecarrer les attaques de cybercriminels tentant d’exploiter les faiblesses techniques ou humaines des applications bancaires mobiles. Une nouvelle forme d’attaque se propage depuis peu, combinant des éléments classiques de social engineering avec l’exploitation des faiblesses de sécurité inhérentes aux applications bancaires mobiles. Dans cette interview, Giovanni Verhaeghe, directeur de la Stratégie chez Vasco Data Security, explique les enjeux de ces nouvelles attaques.

Les attaques contre les clients des banques ne sont pas nouvelles. Qu’en est-il de ces malwares overlay ?

Les utilisateurs d’applications bancaires sont en effet les cibles d’attaques particulièrement insidieuses depuis plusieurs années déjà. Les malwares dits overlay recouvrent l’interface de l’application avec une interface pirate quasi identique. Ils se déclenchent lorsque l’utilisateur ouvre une application bancaire. Les données entrées par l’utilisateur, comme le mot de passe et autres codes didentification, sont volés alors que les données de transactions sont altérées, de sorte que l’utilisateur envoie sans le savoir des informations au hacker qui se cache derrière le malware. Dans la plupart des cas, le malware overlay prend la forme d’un cheval de Troie, et se fait passer pour une application légitime téléchargée depuis un site ou un appstore légitime.

 

Y-a-t-il eu récemment des attaques par des malwares overlay ?

Un exemple récent de ces malwares est connu sous le nom de BankBot. Ce malware ciblait les mobiles sous Android. Par le passé, il a principalement ciblé les clients de banques en Russie. Mais des évolutions récentes lui ont permis d’élargir son terrain de chasse et de toucher quelques 240 banques en Allemagne, Autriche, Pays-Bas, Turquie, Etats-Unis et en France, où il a notamment ciblé les applications de banques comme LCL, Crédit Agricole et Banque Populaire. Prenant l’apparence d’une application normale pouvant être téléchargée depuis Google Play, BankBot utilise le principe d’attaque par overlay pour inciter les utilisateurs à donner leur identifiant, mot de passe, code PIN et données de carte bancaires. Il peut également intercepter les messages SMS, qui sont fréquemment utilisés par les applications bancaires comme second facteur d’authentification pour autoriser les paiements en ligne. L’utilisateur ne se doute de rien jusqu’à ce que son compte bancaire soit vidé ou que ses paiements soient redirigés vers des comptes pirates.

 

Connaît-on précisément leur mode d’attaque ?

Le principe de BankBot et des autres attaques par overlay consiste à combiner deux méthodes classiques de cyberattaque. Elles s’appuient tout d’abord sur le social engineering, qui permet aux hackers de duper les utilisateurs en leur donnant accès à leurs systèmes. Comme avec tous les malwares de type cheval de Troie, l’utilisateur ne se rend pas compte qu’il installe un logiciel malveillant. BankBot, par exemple, était initialement déguisé en application de météo, puis plus tard en application de vidéos, toutes deux téléchargeables sur Google Play pendant un certain temps, avant qu’elles ne soient découvertes et supprimées. Après l’installation, le malware demande des droits d’administration à l’utilisateur. Alors que cette étape devrait mettre la puce à l’oreille (une appli météo n’a pas besoin de droits d’administration pour fonctionner), beaucoup d’utilisateurs se sont exécutés. Au final, l’overlay est une manière de duper les utilisateurs et de les inciter à faire des choses qu’ils ne voudraient pas faire, comme partager leurs informations bancaires ou même donner leur feu vert pour des transactions qu’ils n’avaient pas l’intention de faire.

 

La crédulité est le point clé dans ce type d’attaques, est-ce exact ?

Pas tout à fait. Les malware overlay ne se contentent pas d’exploiter l’inexpérience des utilisateurs ou leur manque de connaissance. Ils fonctionnent aussi en raison des faiblesses des plateformes mobiles elles-mêmes et des applications qui tournent dessus. Ils peuvent par exemple s’installer automatiquement si l’utilisateur ouvre une page web spécifique. Leur mode opératoire le plus courant consiste à faire fonctionner l’application bancaire en arrière-plan, ce que la plupart de ces applications ne détectent pas par elles-mêmes. L’application continue de fonctionner normalement et accepte les opérations effectuées, même lorsque cela ne peut techniquement pas être fait par un humain puisque l’application tourne en arrière-plan, cachée derrière l’interface pirate.

 

Peut-on se protéger contre les malwares overlay ?

La propagation des attaques overlay oblige à adopter une protection multicouches, dans la mesure où même l’authentification à deux facteurs ne peut pas protéger les appareils Android. La responsabilité des banques qui fournissent ces applications mobiles entre ici en jeu. L’application bancaire elle-même devrait disposer d’outils de sécurité permettant de détecter si elle est déplacée en arrière-plan. La procédure standard devrait ensuite consister à bloquer toute action de l’utilisateur et à éliminer l’interface pirate overlay, quelle que soit l’application (ou plutôt le malware) qui la met en place. Il serait autrement plus efficace de se prémunir contre les attaques overlay via un vraie méthode, plutôt que de vouloir bloquer des éléments spécifiques du malware. De nouveaux malware apparaissent tout le temps, BankBot n’étant ni le premier ni le dernier qui recourra à cette méthode. De plus, des malwares plus sophistiqués pourraient également exploiter des faiblesses jusque-là ignorées des plateformes. Une sécurité efficace fait en sorte que l’exploitation d’une faiblesse spécifique n’est pas suffisante pour compromettre l’utilisateur.

 

Comment faut-il procéder ?

L’authentification à deux facteurs reste une partie vitale des défenses de l’utilisateur. Les cybercriminels qui tentent de voler les identifiants ou même les données de carte bancaire, par exemple, ne pourront pas en faire grand-chose s’ils doivent aussi posséder un appareil physique ou une clé d’encryptage. Il peut s’agir de tokens hardware ou software recevant un code spécifique chaque fois que l’utilisateur veut effectuer une opération potentiellement sensible. Pirater le savoir d’un utilisateur, c’est-à-dire son mot de passe ou son code PIN, n’est plus suffisant pour un cybercriminel.

La technologie RASP (pour Runtime Application Self-Protection) permet de mettre en place ce type de sécurité multicouches en intégrant la sécurité directement dans l’application mobile. Au lieu de n’avoir à percer qu’une seule couche de sécurité pour compromettre un appareil connecté, un hacker devra désormais percer plusieurs couches qui lui donneront du fil à retordre. RASP détecte également les comportements plutôt que les codes spécifiques, tuant ainsi les attaques overlay dans l’œuf.

De même que les attaques overlay combinent plusieurs méthodes, la sécurité et la protection contre les malwares doit associer plusieurs techniques et technologies. En associant la technologie RASP avec l’authentification à deux facteurs, les banques peuvent se donner les moyens de protéger réellement les utilisateurs de leurs applications mobiles. Il en va de leur responsabilité.

 

Connectez-vous pour commenter

Copyright Publi-News

Top Desktop version