Phishing : ActivCard tire la sonnette d’alarme

Cloud

L’éditeur de solutions d’authentification publie un livre blanc sur l’une des menaces grandissantes du Web, le phishing, qui consiste à détourner des données confidentielles en ligne. Il émet des pistes de réflexion et des solutions pour sécuriser les transactions en ligne.

Pour ActivCard, c’est la plus grande menace pour le développement du commerce électronique. Dans un livre blanc qui vient d’être publié, l’éditeur américain de solutions d’authentification fait le point sur cette technique frauduleuse. La manipulation consiste à réorienter un internaute vers des pages Web imitant un site institutionnel de confiance afin de détourner ses données confidentielles. Ce phénomène a d’abord affecté les Etats-Unis mais il se déplace maintenant en Europe, avec des premiers cas signalés en France et en Allemagne.

L’exemple le plus couramment cité est celui de la banque américaine Citibank. Ses clients ont reçu un e-mail, censé être émis par le service commercial de l’établissement, les invitant à entrer de nouveau leurs coordonnées bancaires sur un site dont l’adresse Web était indiquée dans le courriel. Bien entendu, l’e-mail ne provenait pas de Citibank et l’adresse Web était celle d’un site imitant celui de la banque. « Une technique sophistiquée, habile et vraiment diabolique », souligne ActivCard.

Deux millions d’utilisateurs piégés

Pour élaborer son livre blanc, ActivCard a utilisé différentes sources d’information. Selon les données fournies par l’Anti-Phishing Working Group, les principales cibles du phishing sont les groupes bancaires et leurs déclinaisons en ligne. Rien que pour les établissements financiers américains, cette technique représenterait une perte de 1,2 milliard de dollars. Au cours des deux dernières années, deux millions d’utilisateurs de services en ligne financiers ont été lésés, selon une étude de Gartner Group.

En mars 2004, le ministère de la Justice américain a recensé trois principaux risques dans une synthèse sur le phishing : des détournements de fonds (via des virements effectués à l’insu du titulaire du compte bancaire), des vols d’identités (qui permettent de se faire passer pour la personne lors d’achats en ligne) et enfin le risque de voir son ordinateur infecté par des virus ou des spywares.

Entre mesures de prévention et solutions techniques

Pour Activcard, il est temps que les groupes bancaires prennent conscience des dangers du phishing. Le prestataire américain estime qu’ils devraient améliorer la sécurité des transactions en ligne en renforçant les mesures d’authentification du côté du serveur (la banque) mais aussi du côté du client. ActivCard se montre très insistant sur ce point, non sans arrière-pensée commerciale…

En effet, le groupe high-tech mondial, qui dispose d’une branche française installée dans les Hauts-de-Seine, propose deux solutions pour contrer le phishing. La première est basée sur un « token » (ou jeton) d’authentification, un accessoire technologique que l’on distribue à tous les clients d’une banque en ligne et qui permet de générer un code secret distinct pour chaque transaction. La deuxième solution entre davantage dans le coeur du système d’information des groupes bancaires pour faire intervenir un tiers de confiance. Il s’agit d’un système d’authentification autour d’une infrastructure de clés publiques (PKI pour Public Key Infrastructure), qui sert de certificats numériques confirmant l’identité des parties dans une transaction électronique.

Plus globalement, une troisième alternative apparaît avec le déploiement de cartes bancaires au standard EMV (Europay-Mastercard-Visa), apparu en France il y a neuf mois. Ce standard international pour les terminaux de paiement et les cartes à puce, qui met l’accent sur la sécurité accrue pour les porteurs, les commerçants et les banques, serait susceptible de contribuer à la lutte contre le phishing.


Lire la biographie de l´auteur  Masquer la biographie de l´auteur