Phishing : les groupes bancaires français aux aguets

Cloud

Pour les banques, le phishing présente actuellement un risque modéré. Pourtant, les experts en sécurité voient affluer les demandes d’informations en provenance du secteur financier.

Après les deux alertes survenues dans le monde bancaire à la fin de l’été (voir édition du 7 septembre 2004), le phishing est désormais considéré comme une sérieuse menace en France. Ce type d’escroquerie en ligne consiste à récupérer les données confidentielles de clients abonnés à un service Internet (une banque en ligne, par exemple) par le biais de fausses alertes par e-mail renvoyant sur des sites Internet leurres. Une technique qui fait des ravages aux Etats-Unis et qui s’étend désormais à l’Europe.

Des groupes bancaires peu inquiets

Malgré les risques liés à cette pratique, les groupes bancaires n’ont pas engagé de campagne de sensibilisation du grand public sur ce thème. Sans être nécessairement traité de manière alarmiste, le sujet intéresserait pourtant les clients de services de banques en ligne. Au sein de la Fédération bancaire française (FBF), le phishing n’est pas considéré comme un sujet qui mérite une attention particulière. Son site grand public, LesClefsdelaBanque.com, reste laconique sur le sujet. On découvre seulement une allusion au phishing dans un mini-guide sur la sécurité des services bancaires, réactualisé en juin 2004. « Nous estimons que ce sujet est du ressort des groupes bancaires qui doivent communiquer directement auprès de leur clientèle », précise un porte-parole de la FBF.

Du côté des établissements bancaires, les commentaires restent très lisses. « Il faut être vigilant, attentif et réactif », indique un responsable Internet du groupe BNP-Paribas. A la fin de l’été, deux alertes avaient été lancées sur des présumés cas de phishing en France. Le premier concernait la Société Générale : mi-août, un client du Val-de-Marne a alerté son établissement bancaire après avoir constaté des virements suspects depuis son compte. Si le détournement d’argent est avéré, le procédé technique utilisé reste à déterminer. « Pour l’instant, nous n’avons aucune preuve de cas de phishing concernant des clients de la Société Générale », assure un porte-parole de la banque, contacté début septembre par Vnunet.fr. « Les fraudeurs ont récupéré les coordonnées bancaires à distance, peut-être à travers un cheval de Troie. L’enquête des services de police spécialisés est en cours pour le déterminer », précise le représentant de la Société Générale. Le deuxième groupe bancaire considéré comme une victime du phishing fin août est la Bred. Mais, là encore, des doutes subsistent sur les moyens utilisés pour parvenir au détournement d’argent.

De nombreuses demandes d’informations et appels d’offres

En dehors de ces deux affaires ponctuelles d’escroquerie, les prestataires spécialisés en sécurité des réseaux soulignent que les groupes bancaires français demeurent timorés sur le sujet du phishing. « Jusqu’à présent, les banques ne souhaitaient pas investir outre mesure dans des solutions d’authentification tant que le montant des fraudes restait inférieur aux investissements financiers nécessaires pour leur déploiement », explique Loïc Caradec, directeur commercial Europe du Sud d’ActivCard. Le représentant de la société américaine spécialisée dans les solutions d’authentification évoque un « effet Minitel ». « Les banques ont cherché à reproduire les même procédés que la télématique et n’ont pas mis en place des moyens d’authentification forte pour des accès via Internet », précise Loïc Caradec. Depuis le mois de juin, Activcard indique avoir reçu des demandes d’informations émanant de plusieurs groupes bancaires français sur ce sujet.

Même son de cloche pour Georges Liberman, P-DG de Xiring, une société qui intervient également dans le domaine des solutions d’authentification basées sur la carte à puce. Dans une tribune libre, l’expert explique que les plus grandes banques européennes sont en train d’abandonner le principe du mot de passe classique pour mettre en place des systèmes basés sur des mots de passe dynamiques (c’est-à-dire qui changent à chaque connexion) ou sur la signature électronique. « Les banques suédoises, britanniques, néerlandaises et belges ont démarré des programmes d’équipement massif pour protéger leurs clients dés 2005 », affirme Georges Liberman. Georges Liberman attend beaucoup de la nouvelle génération de cartes bancaires à puce dite EMV (Eurocard, Mastercard et Visa), dont le déploiement a débuté sur le marché hexagonal. « Les banques françaises n’ont pas envisagé d’utiliser la carte à puce actuelle pour sécuriser la banque à domicile. Elles se préparent donc à sécuriser la banque électronique en attendant l’arrivée de la nouvelle génération de cartes ».


Lire la biographie de l´auteur  Masquer la biographie de l´auteur