La sécurité informatique reste fragile. Désormais, les escrocs visent de plus en plus les moyens d’authentification mobiles utilisés pour l’e-banking, notamment en Suisse. Depuis peu, ils vont jusqu’à inciter leurs victimes à leur envoyer une copie de la lettre de la banque contenant les données permettant d’activer l’authentification à deux facteurs, selon MELANI.
Depuis environ deux semaines, la Centrale d’enregistrement et d’analyse pour la sûreté et de l’information (MELANI) recense des attaques dont le but est de se procurer la lettre contenant les données d’activation du processus d’authentification par smartphone. Aussi bien les utilisateurs d’Android de Google que ceux d’iOS d’Apple sont concernés.
Code visuel à scanner
Depuis 2016, ces criminels essaient de contourner les moyens d’authentification mobiles en recourant à l’ingénierie sociale et en utilisant des maliciels tels que «Retefe». Les utilisateurs de solutions de sécurité comme PhotoTAN, CrontoSign et SecureSign sont désormais visés.
Les données permettant une authentification sécurisée prennent souvent la forme d’une mosaïque que l’utilisateur doit numériser ou photographier avec une des applications citée ci-dessus lorsqu’il se connecte la première fois à sa solution de paiement avec un smartphone.
Photocopie ou photo du courrier
Au terme de cette authentification, l’appareil utilisé est alors validé par la banque pour la procédure de connexion au compte e-banking. La banque transmet en général à ses clients ces données d’activation par voie postale, est-il indiqué dans une information diffusée en fin de semaine dernière.
Les escrocs essaient désormais d’obtenir les données d’activation en manipulant leurs victimes et en les incitant à en faire une copie numérique et la leur transmettre. En possession de ces données, ces individus pourraient activer un autre téléphone mobile qui serait lui aussi reconnu comme valable pour l’authentification à deux facteurs…
XS
Les recommandations de MELANI
- La lettre contenant les données d’activation vous a été adressée à vous, et à vous seul, par votre banque. Ne divulguez son contenu à personne, pas même à votre banque, même si on vous presse de le faire. En cas de doute, demandez des renseignements par téléphone à votre banque ou à votre conseiller.
- Lorsque vous vous connectez à l’e-banking en utilisant un appareil mobile (par exemple un téléphone mobile ou un appareil dédié à PhotoTAN), vérifiez que vous êtes réellement en train de vous connecter à votre compte et non en train de valider un paiement
- Si vous validez un paiement, veillez à bien lire tout le texte s’affichant sur l’appareil mobile et vérifiez encore le montant et le destinataire (nom, IBAN) du paiement avant de valider celui-ci.
- Installez uniquement des applications depuis l’«App Store» officiel (Google Play ou l’Apple Store). Ne téléchargez jamais d’application depuis une source inconnue, même si on vous le demande. Ne modifiez en aucun cas votre appareil de manière à affaiblir des mécanismes de sécurité essentiels (par ex. obtenir les droits de super utilisateur ou faire sauter le bridage logiciel).
- Installez les mises à jour de sécurité aussi bien sur votre ordinateur que sur votre téléphone mobile dès que celles-ci sont disponibles.
- Si vous relevez des irrégularités lors de votre connexion à l’e-banking, prenez immédiatement contact avec votre banque. Ces irrégularités peuvent notamment prendre la forme:
- d’une annonce de sécurité avant votre connexion au compte d’e-banking, par exemple: « En raison de la modernisation de notre système de sécurité, une identification supplémentaire peut vous être demandée lors de la connexion au compte. […]»;
- d’un message d’erreur après votre connexion, par exemple: «Erreur! En raison d’un problème technique, nous ne sommes pas en mesure de trouver la page que vous recherchez. Veuillez réessayer dans deux minutes»;
- d’un message de sécurité après votre connexion (par ex. «mesure de sécurité») qui vous demande de fournir votre numéro de téléphone fixe ou mobile;
- d’une demande d’installation d’une application mobile après votre connexion;
- d’une redirection vers un site Internet qui n’a aucun lien avec votre banque (par ex. vers google.ch) après votre connexion;
- d’un compteur qui apparaît après votre connexion et vous demande de patienter sans recharger la page.