Malmenée, la sécurité bancaire, ces derniers temps. Avec, notamment, la réapparition de l’affaire des virus contaminant les DAB (Distributeurs Automatiques de Billets). Le sujet avait agité la presse mi-mars. Il vient récemment d’être complété par deux analyses techniques et fonctionnelles effectuées respectivement par Shevchenko de TreatExpert et Trustwave. Certaines fonctions de la porte dérobée en question sont d’une subtile efficacité, notamment en ce qui concerne l’usage hors norme de l’imprimante destinée à la délivrance des tickets.
Pendant ce temps, la Caisse d’Epargne, la vieille Dame Digne du Livret A, se fait phisher depuis plus d’une semaine. Le courriel d’incitation est émis par différents zombies européens, et rédigé dans un style bancaire irréprochable. Seules ombres au tableau –hormis le fait qu’une banque n’expédie jamais ce genre d’email-, aucune lettre ne possède de caractère accentué et le charset utilisé est encore le bon vieux « Windows-1251 », tant apprécié par les spécialistes Russes du hameçonnage. Les sites hébergeant les fausses pages de phishing sont généralement des web personnels. Le véritable site de la Caisse d’Epargne, quant à lui, ne contient aucune alerte, aucun communiqué immédiatement visible. C’est dommage. Car très souvent, les phishers ne comprenant pas ce qu’ils intègrent dans leurs pages « multiframe », glissent sans le savoir les cris d’alarme anti-phishing de la banque visée.
Que deviennent-elles, ces cartes de crédits virtuelles nées d’un vol d’identité ? Elles se vendent, à faible prix, sur des places de marché mafieuses. Comme à Rungis, le client peut même goûter à la marchandise et en éprouver la qualité. Le « cent » de numéros peut être testé par échantillonnage avant que ne soit conclut la vente. Et cet échantillonnage s’opère de manière très simple, en effectuant un achat sur quelques sites cybermarchands pris au hasard sur la Toile. C’est ainsi que le truand-prospecteur obtient trois informations capitales : la validité du numéro de la carte, la solvabilité de son propriétaire originel, et le montant de crédit associé. C’est également ainsi qu’un cabaretier de l’Idaho (état renommé pour ses pommes de terre et ses sympathiques troquets d’agriculteurs), a découvert l’existence de ces incessants prélèvements de « tests ». Une aventure abracadabrante racontée par Brian Krebs du Post. Mais l’histoire ne s’arrête pas là. Car l’une des victimes dont le compte a été « testé » parvient, en quasi temps réel, à suivre l’utilisateur de la fausse carte de crédit, en informe sa banque, appelle chaque magasin afin que les bandes de vidéosurveillance situées au dessus de chaque caisse ne soient pas effacées et puissent être transmises aux autorités. Belle présence d’esprit, remarquable travail d’enquête qui, pourrait-on espérer, aurait pu valoir à son auteur les remerciements de la banque. Que nenni ! Alors même que madame Keri Tetlow signale les forfaits à son chargé d’affaires, celui-ci lui conseille de « souscrire une assurance contre le vol d’identité ».
