Sécurité bancaire : se prémunir des risques du NFC et des nouvelles fraudes

24 octobre 2014 à 14h33
0

Comment éviter les pièges ?

Les nouvelles générations de DAB anti-skimming déployées progressivement par les établissements bancaires sur le territoire français auraient permis selon l'Observatoire de la Sécurité des Cartes de Paiement de faire baisser ce type de fraudes. La prudence reste néanmoins de mise et il est préférable par exemple de privilégier les distributeurs les plus récents et ceux situés à l'intérieur des banques. Éviter les DAB dégradés (il y en a beaucoup) et ceux isolés, bien plus faciles à piéger. Il faut savoir que les fraudeurs opèrent le plus souvent le week-end et les jours fériés lorsque les banques sont fermées et qu'ils peuvent installer et récupérer plus discrètement leur matériel.

Quel que soit le distributeur, l'automate ou le terminal de paiement, il est important de cacher systématiquement la saisie du code confidentiel qui peut être filmée par une caméra, ou pire encore, espionnée par de potentiels agresseurs se trouvant à proximité ! Le paiement mobile via les cartes bancaires NFC ou les applications pour smartphones déclenche de nombreuses polémiques, mais il est encore trop tôt pour savoir si des failles de sécurité ont été véritablement exploitées par des hackers. En attendant, il est possible de demander à sa banque de désactiver la puce NFC de sa carte bancaire, ou de la ranger dans un étui spécifique en aluminium pour l'empêcher d'émettre.

03E8000007097921-photo-des-distributeurs-de-billets-de-banque-le-29-avril-2012-paris.jpg


Quels sont les recours en cas de fraude ?

Selon les droits des consommateurs, les banques sont en principe dans l'obligation de rembourser les fraudes à la carte bancaire séance tenante. Dans la réalité, cela ne se passe pas aussi facilement. À mesure que les fraudes se multiplient, les établissements bancaires se montrent de plus en plus réticents à rembourser rapidement les victimes.

Celles-ci doivent évidemment signaler les transactions suspectes pour faire opposition à leur carte, déposer une main courante (exigé par certaines banques selon les sommes, mais ce n'est en principe pas obligatoire), envoyer une contestation écrite à la banque, voire payer une franchise pouvant se monter jusqu'à 150 euros, etc. Même s'ils ont tendance à trainer des pieds, les établissements bancaires finissent par rembourser la majorité de leurs clients sous un mois en moyenne.

03E8000007436209-photo-banques2.jpg

Le point de vue d'un expert en sécurité



012C000005748092-photo-damien-bancal.jpg
Auteur de plusieurs ouvrages sur la sécurité et fondateur du site zataz spécialisé dans la délinquance informatique, Damien Bancal connait tous les rouages de la cybercriminalité. Nous l'avons rencontré pour en savoir un peu plus sur les failles de sécurité des moyens de paiement, et les modes opératoires des cybercriminels.

Quel est le profil type des criminels qui piratent les distributeurs de billets ou les stations essence ?

Damien Bancal : Leur profil peut être assez varié. Dans la grande majorité, il s'agit de ressortissants des pays d'Europe de l'Est. Ils font partie de groupes suffisamment structurés pour acquérir le matériel (skimmer), cloner les cartes bancaires et avoir les contacts pour les utiliser à l'étranger. En mai dernier, deux Bulgares ont été arrêtés en Haute Marne avec, dans leur véhicule, le matériel qui leur a permis de voler au total 100 000 euros dans six banques.

Comment se procurent-ils le matériel nécessaire et quelles sont leurs compétences ?

Damien Bancal : Le matériel de skimming s'achète dans le « blackmarket », dans des forums spécialisés dans ce genre de produits. Le dernier que j'ai pu voir était commercialisé plus de 5 000 euros. Concrètement, il suffit d'avoir les contacts, le cash, et ensuite, le matériel s'achète malheureusement très facilement. Côté compétences, il suffit de savoir installer le dispositif, lire les données de la caméra miniature, et copier une bande magnétique pour cloner son contenu. C'est devenu très simple. Je prends souvent l'exemple du film Terminator 2 : John Connor pirate un distributeur de billets en 20 secondes en s'écriant « Argent facile ! » . Il y a 30 ans, c'était de la science-fiction, mais ça, c'était avant !

Les escroqueries avec des terminaux de paiement piégés dans les commerces ou les grandes surfaces sont-elles fréquentes ?

Damien Bancal : On n'en sait rien, le vrai problème est là ! Les commerçants n'en parlent pas et les banques, encore moins. J'ai pu recenser neuf cas rien que dans ma région du nord de la France. L'une des affaires les plus inquiétantes a eu lieu dans un commerce situé dans une galerie marchande de la région de Lille. Les pirates avaient réussi à voler deux lecteurs, à les modifier et les remettre en place sans que personne ne s'en rende compte. Autant dire que de nombreuses cartes bancaires ont eu le temps d'être lues, copiées et envoyées à l'étranger. Il aura fallu attendre des plaintes de clients pour qu'une enquête soit lancée. Les banques mettent en place des services de veille/sécurité de plus en plus efficaces, mais les pirates auront toujours un train d'avance.

De nombreux experts en sécurité dénoncent les vulnérabilités des systèmes de paiement sans contact NFC qu'ils soient intégrés aux cartes bancaires ou aux smartphones. Faut-il se méfier de cette technologie ? A-t-elle déjà fait des victimes à votre connaissance ?

Damien Bancal : Renaud Lifchitz, l'un des plus talentueux chercheurs en sécurité informatique a réussi à démontrer en quelques minutes la folie de la technologie NFC. Se dire qu'un protocole de communication est mis en service sans aucun système d'authentification, c'est se demander si on ne se moque pas du monde. Les données de votre carte bancaire se baladent « dans l'air » et peuvent facilement être interceptées. Le sans-fil est un problème. Il suffit de tester certaines cartes qui permettent d'accéder à des bureaux, des entreprises, etc. A ma connaissance, plusieurs personnes ont vu leurs données siphonnées via le NFC, mais je ne peux pas en dire plus. Il existe des solutions pour se protéger telles que des pochettes empêchant toutes interceptions. Le site français stop-rfid en commercialise.

Quelles sont les arnaques les plus difficiles à repérer actuellement ?

Damien Bancal : Les fraudes bancaires dites « du directeur ». Des entreprises qui se font détourner des centaines de milliers d'euros, voir des millions, rien qu'avec du social engineering (l'étude d'une cible informatique en analysant la vie pro/perso des employés et dirigeants). Les clés USB oubliées ou qui apparaissent comme par magie sur votre bureau ou dans votre voiture et qui sont piégées. Sans compter celles qui ne seront révélées que dans 6 mois, 1 an, 3 ans... C'est bien celles-ci qu'il faut craindre, car cela signifie qu'elles sont en cours d'exploitation et qu'on ne le sait pas encore.

Quels conseils donneriez-vous pour éviter les pièges ?

Damien Bancal : Cela fait 20 ans que je prône l'importance d'avoir une bonne hygiène numérique. Ma carte bancaire NFC dans ma poche est un outil qui se connecte à l'extérieur, sans même que je puisse le contrôler. Dans ce cas-là, je protège ce « mouchard » involontaire dans du papier alu ou dans une pochette spécifique. J'ai une clé USB, j'utilise un outil qui va l'empêcher d'auto exécuter un code (malveillant ou non). Je peux conseiller l'utilisation des outils gratuits comme Gdata USB Guard ou encore Phrozen Safe USB. Devant un distributeur de billets ou une pompe à essence, il est important de bien vérifier que rien ne bouge, surtout le lecteur de carte. Vous êtes un commerçant, mettez un autocollant de votre boutique sur votre terminal de paiement, de préférence à l'endroit où une vis apparait. Cela permet de s'assurer que le lecteur n'a pas été remplacé et/ou ouvert sans votre accord.



Rester en alerte

Ce tour d'horizon non exhaustif des fraudes aux moyens de paiement n'est pas vraiment rassurant. Les escrocs font certes preuve d'une ingéniosité sans limite, mais les organismes bancaires mettent-ils vraiment tout en œuvre pour protéger leurs clients ? Depuis le temps que le skimming fait des ravages, il est surprenant de trouver encore aujourd'hui en France et dans d'autres pays d'Europe des DAB sans protection anti-skimming. La vidéo surveillance systématique des distributeurs pourrait également permettre de décourager les escrocs de s'attaquer en toute impunité aux guichets.

Même constat pour les terminaux de paiement électronique dont la sécurité laisse à désirer. Avec les moyens et les technologies à disposition des organismes financiers, les TPE pourraient sans doute être mieux sécurisés et devenir par exemple inopérants lorsqu'ils sont ouverts, ou déplacés d'un commerce. En attendant, ce sont les utilisateurs qui doivent redoubler de prudence dès lors qu'ils retirent de l'argent ou effectuent un paiement. Pour se protéger, mieux vaut se tenir informé des techniques de piratage utilisées par les escrocs et rester constamment en alerte. C'est le prix à payer pour minimiser les risques et éviter de rejoindre les rangs des millions de victimes des fraudes bancaires.
Modifié le 01/06/2018 à 15h36
0 réponses
0 utilisateurs
Suivre la discussion

Les actualités récentes les plus commentées

De nouveaux modèles climatiques ont été créés... et la situation est pire que prévue
Stallman quitte la Free Software Fundation après la divulgation d'emails évoquant l'affaire Epstein
Ça y est, le Fold est disponible en France... pour 1,6 SMIC (net).
Des défauts de fabrication découverts sur six réacteurs nucléaires en activité en France
OVNI : l'US Navy avoue (enfin) avoir filmé des objets aériens non identifiés
En Californie, Donald Trump tente d’annuler la loi sur les limites d'émissions de CO2
iPhone 11 / 11 Pro : les premiers tests sont en ligne, 2019 est-il un bon cru ?
Le TGI de Paris invalide la clause de non-revente de jeux dématérialisés de Steam
Avec sa Model S, Tesla aurait battu le record de la Porsche Taycan sur le circuit de Nürburgring
Analogue présente un DAC audio/vidéo pour brancher vos vieilles consoles sur une TV moderne

Notre charte communautaire

1. Participez aux discussions

Nous encourageons chacun à exprimer ses idées sur les sujets qui l'intéressent, et à faire profiter l'ensemble de la communauté de son expertise sur un sujet particulier.

2. Partagez vos connaissances

Que vous soyez expert ou amateur passionné, partagez vos connaissances aux autres membres de la communauté pour enrichir le niveau d'expertise des articles.

3. Échangez vos idées

Donnez votre opinion en étayant votre propos et soyez ouverts aux idées des autres membres de la communauté, même si elles sont radicalement différentes des vôtres.

4. Faites preuve de tolérance

Qu'il s'agisse de rédacteurs professionnels ou amateurs, de lecteurs experts ou passionnés, vous devez faire preuve de tolérance et vous placer dans une démarche d'entraide.

5. Restez courtois

Particulièrement lorsque vous exprimez votre désaccord, critiquez les idées, pas les personnes. Évitez à tout prix les insultes, les attaques et autres jugements sur la forme des messages.

6. Publiez des messages utiles

Chaque participation a vocation à enrichir la discussion, aussi les partages d'humeurs personnelles ne doivent pas venir gêner le fil des échanges.

7. Soignez votre écriture

Utilisez la ponctuation, prohibez le langage SMS et les majuscules, relisez-vous afin de corriger un peu les fautes de frappe et de français : trop de fautes n’engagent ni à lire le message, ni à répondre à une question.

8. Respectez le cadre légal

Ne publiez pas de contenus irrespectueux, racistes, homophobes, obscènes ou faisant l'apologie de courants radicaux, qu'ils soient politiques ou religieux. N'utilisez pas plusieurs comptes utilisateurs.

9. Ne faites pas de promotion

Ne profitez pas d'une discussion pour faire la publicité d'un produit, d'un service ou même de votre site web personnel.

10. Ne plagiez pas

Exprimez uniquement vos opinions ou partagez des idées en citant vos sources.

scroll top