Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

« Opération Emmental » : comment les cybercriminels se jouent des mécanismes de sécurité des services bancaires en ligne

juillet 2014 par Trend Micro

Chocolat, montres, fromage et secret bancaire : il y a bien des choses qui font la notoriété de la Suisse dans le monde entier. Et c’est justement au niveau des services bancaires en ligne que la réputation de la Suisse risque de laisser des plumes. Certes, les banques ont mis au point différentes méthodes pour empêcher les cybercriminels d’accéder aux comptes en ligne de leurs clients. Toutefois, une attaque (« Opération Emmental ») que viennent de détecter les chercheurs du fournisseur japonais en sécurité informatique Trend Micro contourne une forme fréquemment utilisée de l’authentification à deux facteurs et se joue de la protection qu’offrent les codes d’authentification (token) de session, envoyés par SMS aux dispositifs mobiles des utilisateurs. Selon toute probabilité, cette attaque a son origine dans les milieux de cybercriminalité d’un pays russophone. Cette attaque ciblait les clients vivant en Suisse et en Autriche. Les banques et entreprises ont été informées de cette attaque par Trend Micro.

La gamme des mécanismes de sécurité intervenant dans les services bancaires en ligne va des simples mots de passe aux codes d’authentification (token) de session, envoyés par SMS aux dispositifs mobiles des utilisateurs, permettant à ces derniers d’authentifier leur identité et d’activer leurs sessions de transactions en ligne, en passant par les numéros PIN et TAN. Les codes étant envoyés via une voie séparée, cette méthode d’authentification à deux facteurs est généralement considérée comme sûre. Quelques-unes des banques analysées utilisent par exemple aussi les codes TAN sous forme d’image ou fournissent aux clients des lecteurs de cartes physiques. Néanmoins, pour la plupart de leurs clients, les banques font intervenir des codes d’authentification (token) de session, envoyés par SMS.

A la recherche des trous : préparation de l’attaque

Les cybercriminels ont mis à profit cette situation et contourné la protection en utilisant une méthode complexe. L’attaque commence avec un e-mail apparemment envoyé par des sites populaires d’un marchand en ligne et d’un producteur de biens de consommation (voir figure 1 dans le rapport de recherche). Lorsque l’utilisateur ouvre le fichier joint au courriel, ceci entraîne le téléchargement et l’exécution d’un autre fichier appelé « netupdater.exe » qui infecte alors le système.

Sur le système, le programme malveillant procède à trois modifications :

- Il modifie les paramètres du serveur DNS (Domain Name System) pour une redirection vers un serveur contrôlé par les pirates qui vont prendre la main sur la façon dont le système infecté assure la résolution des domaines Internet.

- Il installe un nouveau certificat SSL (Secure Socket Layer) d’une l’autorité de certification racine sur le système infecté. Cela permet aux pirates d’afficher du contenu de sites de phishing qui sont sécurisés par SSL sans que le navigateur en avertisse l’utilisateur. Le cryptage SSL est avant tout utilisé avec le protocole de transmission https.

- Il s’autodétruit sans laisser de traces après son installation. Comme le fichier a disparu, il est difficile pour l’utilisateur de détecter l’infection une fois l’installation du programme malveillant achevée. La vraie menace ici n’est pas l’infection proprement dite, mais plutôt le changement de configuration des paramètres du système. Si la tentative d’infection n’est pas décelée immédiatement, la recherche consécutive de programmes malveillants ne permet pas d’identifier de menace puisque le fichier a disparu (voir figure 5 dans le rapport de recherche).

Il n’y a pas que le fromage qui ait des trous : déroulement de l’attaque

À chaque fois qu’ils voudront effectuer des opérations bancaires en ligne, les utilisateurs dont le système a été infecté seront déviés vers une page de phishing et accèderont à une page falsifiée. Comme la communication passe par une connexion https apparemment sûre, les utilisateurs ne se rendent pas compte qu’ils ne communiquent pas avec leur banque. Étant donné qu’un certificat falsifié est installé sur leur système, le navigateur n’affiche pas d’avertissement.

Dès qu’ils ont saisi leurs identifiants, numéro de compte et code d’authentification, on leur demande d’installer une application sur leur smartphone (voir figure 10 dans le rapport de recherche) et on leur précise que sans cette application, ils ne pourront dorénavant plus utiliser les services bancaires en ligne. Cette application malveillante Android prétend être un générateur de tokens de session de la banque ; en réalité, elle sert à intercepter les messages sms de la banque pour les acheminer vers un serveur de commande et de contrôle (C&C). Via la page de phishing, les pirates obtiennent non seulement les informations d’enregistrement des utilisateurs donnant accès au compte en ligne, mais aussi les tokens de session nécessaires pour effectuer les opérations en ligne. À présent, les pirates ont pris le contrôle du compte bancaire de l’utilisateur, c’est-à-dire usurpé son identité, et sont en mesure d’exécuter les transactions en ligne à son nom.

Autant de trous que dans le fromage suisse : synthèse de l’attaque

Martin Rösler, Directeur de l’équipe de recherche sur les menaces chez Trend Micro, fait le point : « L’attaque Opération Emmental est complexe, elle présente plusieurs éléments et une infrastructure complète. Le fait que la partie maîtresse de l’attaque, le programme malveillant, s’autodétruise sans laisser de traces a probablement permis aux pirates de pouvoir agir dans un environnement relativement sûr. »

Rainer Link, membre de l’équipe de recherche sur les menaces chez Trend Micro et l’un des auteurs du rapport, ajoute : « Contrairement au processus utilisant les codes mobiles TAN, dans lequel chacune des transactions opérées exige un code TAN, les cybercriminels se servant des tokens de session peuvent réaliser plusieurs transactions pendant une seule session sans être détectés. Ils peuvent démarrer directement une session de services bancaires en ligne alors que les utilisateurs ne s’en rendront compte qu’en étudiant attentivement leurs relevés de compte. Les messages en partie très maladroitement formulés en allemand ne signifient pas forcément que le risque est faible. Il est également fort possible que les cybercriminels réalisent des opérations de blanchiment d’argent dans ce contexte et qu’ils se servent à cet effet des utilisateurs moins attentifs ou moins avertis en matière de dangers liés aux services en ligne et par conséquent n’attachant que peu d’importance au langage utilisé dans un message. »




Voir les articles précédents

    

Voir les articles suivants