L'Homme du Milieu braque les banques en ligne
Par Jerome Saiz, le 25 sept 2008 à 20:39:28.
Retour sur une attaque particulièrement originale contre la banque en ligne. La technique de l'Homme du Milieu (Man in the Middle), bien connue des pirates, permet ici de contourner jusqu'aux protections par SMS et autres calculatrices offertes par certaines banques.
L'attaque n'a rien de très nouveau et le cheval de Troie qui la met en
oeuvre non plus. Mais la visite à Dublin (Irlande) du Security Response
Center de Symantec nous donne l'occasion de revenir sur le cheval de
Troie Silent Banker et - surtout - sa technique de contournement des sécurité bancaires avancées.
Découvert en début d'année par les équipes du SRC de Dublin, le cheval
de Troie reconnaît quatre-cent établissements bancaires. "Reconnaître"
signifie ici qu'il est en mesure de comprendre (parser,
pour les techniciens) les échanges qui interviennent lors d'une
transaction en ligne, tel le virement vers un compte bancaire
extérieur.
Installé sur le PC de sa victime selon des procédés classiques, le
cheval de Troie est ainsi stratégiquement positionné entre l'internaute
et sa banque, et il peut donc observer tous les échanges. Y compris,
bien entendu, ceux chiffrés et censés être protégés par le fameux
"petit cadenas", puisque il accède à ces informations avant leur
chiffrement. "Le
code malveillant agit comme un proxy local installé sur le PC de la
victime, ce qui lui permet non seulement de voir passer, mais aussi de
modifier, le trafic de manière transparente pour l'utilisateur", précise Liam O'Murchu, ingénieur sécurité au Response Center de Symantec.
L'attaque est alors d'une simplicité redoutable : lorsque la victime
procédera à un virement en ligne, le Cheval de Troie interceptera les
données du compte destinataire et les remplacera silencieusement par
celles d'un compte appartenant au pirate. Lorsque le site de la banque
affichera en retour la page web de confirmation de l'ordre, le code
malveillant la recevra en premier et pourra y remettre le compte de
destination original. Sur l'écran de la victime les informations seront
donc parfaitement conformes à son ordre, alors que la banque dispose,
elle, d'un ordre tout à fait différent.
Vient la phase d'authentification forte : la banque exige de
s'assurer que c'est bien son abonné légitime qui a passé l'ordre et non
un pirate utilisant son compte. Elle peut pour cela avoir distribué de
petites calculettes qui génèrent un code de sécurité à usage unique, ou
tout simplement envoyer ce dernier par SMS sur le mobile de son abonné.
Dans tous les cas, puisqu'elle ne fait que vérifier l'identité de
l'utilisateur et non l'intégrité de l'ordre, elle a perdu.
Recevant un code de sécurité à saisir pour compléter sa transaction, et
confronté à une page web qui récapitule fidèlement les informations
qu'il a communiqué (parmi lesquelles le bon destinataire), l'internaute
va alors entrer le code de sécurité dans le formulaire et le valider.
A cet instant, le Cheval de Troie va de nouveau intercepter ces
informations et remplacer les coordonnées du compte de destination par
celui du pirate. La banque recevra alors une confirmation de l'ordre
précédent, avec toujours la même destination pour les fonds, et en
outre le code de validation correct. Elle procédera alors selon toute
probabilité au virement (nonobstant les contrôles liés à l'activité
habituelle du compte, le pays de destination des fonds, etc...)
[page 2 sur 2]
La parade immédiate à une telle attaque consiste bien entendu, pour les
banques, à transmettre par SMS également les meta-données de la
transaction (et notamment le compte du destinataire). L'utilisateur
aurait alors la possibilité de détecter l'incohérence des deux comptes
de destination. Toutefois, lors de la présentation de Liam O'Murchu, un
journaliste présent a vérifié les SMS de sa banque sur son mobile et
constaté que ceux-ci n'indiquent bien que le code de sécurité.
La solution la plus simple demeure alors de s'assurer que le poste
de travail est propre... ce qui demeure tout un programme ! Un
programme auquel les banques s'intéressent toutefois : certaines
d'entre elles, notamment au Royaume-Unis, distribuent gratuitement des
suites de sécurité à leurs abonnés. A quand du NAC pour les
particuliers Une attaque silencieuse
Illustration : la procédure d'une attaque de type "Homme du Milieu" dans le cadre d'une transaction de banque en ligne. La protection
Commentaires