Des pirates contournent l’authentification multi-facteurs de banques

On pourrait y voir la démonstration d’une règle connue : il n’y a pas de système de protection infaillible. Et si les banques pensaient pouvoir assurer la sécurité de leurs clients et de leurs finances avec les systèmes de contrôle d’opérations à multi-facteurs, des cybercriminels ont trouvé la faille.

Dans un premier rapport sur une opération baptisée Emmental, Trend Micro décrit des attaques conçues pour contourner les jetons de sessions qui sont envoyés par de nombreuses banques pour authentifier leurs clients, notamment lors du passage d’ordres de virement, par SMS, sur leurs téléphones mobiles. Comme le relève l’éditeur, « puisque ce jeton est envoyé via un canal distinct, cette méthode est généralement considérée comme sûre ». En tout, 34 banques seraient concernées, dont rien moins que 16 en Suisse.

En fait, le système de protection n’est pas, en lui-même, mis en défaut. Il est contourné par les cybercriminels grâce à l’utilisation d’un logiciel malveillant, distribué à l’occasion d’une opération de hameçonnage. Ce logiciel modifie les serveurs DNS utilisés par l’ordinateur pour sa connexion à Internet, et installe un nouveau certificat SSL racine pour éviter de déclencher des alertes dans le navigateur lors de la navigation sur des sites frauduleux. Et de s’effacer ensuite sans laisser de trace, « ce qui rend difficile sa détection par les utilisateurs ».

Cela fait, les cybercriminels disposent de quoi s’interposer entre l’internaute et son service de banque en ligne. En particulier, ils demandent à leur victime d’utiliser une application mobile frauduleuse pour recevoir leur code d’authentification à usage unique. Mais celle-ci intercepte les SMS envoyés par la banque. Que les criminels peuvent utiliser sur le véritable site Web de la banque dans leur propre intérêt.

Selon Trend Micro, cette opération implique des équipes roumaines et russes.