Le cyberpiratage bancaire, ça n’existe pas
Etonnant rapport, que celui de l'Observatoire de la Cyber-consommation qui, au fil d'une impressionnante étude de 45 pages, affirme que la « crainte des internautes de voir leur numéro piraté lors d'un achat sur l'internet n'est pas fondée ». Ceci dans un chapitre intitulé inexistence du piratage de la carte bancaire sur l'internet. Propos simplistes reposant sur un sophisme désarmant : - Personne, en France, ne s'est plaint de s'être fait voler un numéro de carte de crédit durant une transaction - La police n'a jamais reçu de plainte à propos d'un tel détournement - Les « autres » procédés de détournement (numérotation automatique de numéros et autres opérations provoquées par des commerçants véreux) ne sont pas propre à la technologie utilisée par Internet - Ergo, Internet est sûr, dormez en paix braves gens. C'est oublier au passage deux ou trois « légers » détails. Notamment qu'en cherchant une fraude sur un axe Plougastel/Mittelhausbergen et durant un laps de temps n'excédant pas 2 minutes, il est effectivement difficile de pourfendre du cyberfraudeur... - Car ces derniers ont compris que récupérer un numéro durant une transaction relève de la science fiction... il était tellement plus simple, il y a à peine trois ans, de chercher laquelle des 80 failles Oracle l'on aurait à exploiter pour télécharger des « empreintes » électroniques de cartes par centaines. Des empreintes stockées et directement accessibles sur les serveurs du site marchand, après, longtemps après la transaction. - Car ces derniers ont compris qu'il était encore plus facile de subtiliser lesdits numéros sur les bases de données de brokers américains que sur les disques durs de nos Sociétés Générales et autre Crédits Lyonnais... des brokers plus vulnérables et surtout gérant considérablement plus de transactions « en ligne » chaque jour, donc engrangeant plus de victimes potentielles. Limiter une enquête sans tenir compte des statistiques du CSI FBI, c'est partir du principe que les consommateurs français n'achètent qu'en France... Pourquoi utiliser Internet, alors ? - Car ces derniers ont compris qu'une bonne opération de phishing ou l'instillation d'un keylogger pouvait s'avérer considérablement plus « payante » qu'un hack visant à casser le triple DES d'une liaison SSL. Le récent coup de filet des « mules » australiennes ou du gang moyen-oriental opérant en grande Bretagne ne serait qu'un coup de propagande justifiant les budgets du Yard ou de la police de Sydney ? Les personnes actuellement emprisonnées doivent certainement apprécier cette nouvelle forme de publicité institutionnelle. - Car même en étant très prudent, le signataire de ces lignes est parvenu, il y a deux mois, à se faire subtiliser 120 dollars via Paypal, selon un procédé non encore déterminé. Serais-je donc le seul français à avoir été victime d'un cybervol à la carte de crédit ? - Car ces derniers ont compris que si l'usage de générateurs automatiques de carte de crédit n'est effectivement pas un procédé directement lié à Internet, c'est lors d'achats en ligne que peuvent être utilisés lesdits numéros... les autres mécanismes de payement ou de prélèvement de liquide (billetterie, commerçant) exigeant la présence physique du fameux rectangle de plastique. - Car ces derniers ont compris que les plaintes, en particulier de la part des banques, risqueraient trop d'entamer l'image de marque des institutions financières, et que tout est actuellement mis en pratique pour « internaliser » les coûts liés à la fraude. A commencer par la perte de quelques 12 millions de Livres Sterling qui aurait été provoquée l'an passé (époque encore très calme) par les opérations de phishing. Glissons également sur les Scams Nigérians, lesquels ont ravagé les économies de quelques retraités crédules, et qui débutent généralement par des transactions de pseudo « frais de dossier » généralement payés via Internet et à l'aide de cartes de crédit. - Car, à l'instar des banques, de plus en plus de victimes renoncent à porter plainte, soit en raison des tentatives manifestes d'intimidation de la part de certaines banques, soit par peur du ridicule... quelques pièges étant particulièrement grossiers. Soit, tout bonnement, parce qu'ils ne s'aperçoivent pas de l'escroquerie, surtout si celle-ci porte sur des micro-prélèvements. - Car, enfin, il est statistiquement hautement improbable que le milieu du « en ligne » puisse être préservé de toute forme de criminalité sous prétexte que les procédures sont infaillibles -serait-ce là une exception culturelle française-. Pas plus qu'il n'existe de raison prouvant que les guichets virtuels fassent l'objet de plus de « casses » que les dépôts d'argent du monde réel. L'Observatoire a cependant mille fois raison d'insister sur la rareté des attaques durant les transactions mêmes et dans le cadre des échanges sur le réseau public. Les systèmes de payement en ligne français sont généralement sûrs, et même si l'on peut critiquer une partie des mécanismes, la probabilité de vol à ce moment précis, et dans le cadre de cette portion précise de l'échange, semble assez rare. L'Observatoire est également dans le vrai lorsqu'il refuse de participer à cette campagne paranoïaque totalement injustifiée, qui consiste à ne voir que pirates et espions derrière le moindre site de commerce en ligne. Mais lorsque ce même Observatoire se permet d'émettre des jugements techniques du genre « lorsque l'internaute accède au formulaire de saisie de son numéro de carte bancaire dans un espace sécurisé, il se situe dans un environnement où l'interception de son numéro demeure impossible », là, on frise une légèreté certaine. Cette semaine, nous ne pouvons que conseiller aux RSSI intéressés par ce sujet de suivre, durant les journées SSTIC 05 , l'intervention de Monsieur Nicolas Grégoire d'Exaprobe, sur les nouveaux « keyloggers » capables de capturer une séquence frappée sur un clavier « virtuel ». On n'arrête pas le progrès. En faisant reposer une analyse sur une infime portion du paysage de l'e-commerce, les chances de tomber sur un techno monte-en-l'air sont proportionnelles à l'étendue de l'analyse ... Hélas, le vol par carte de crédit existe. Le nier n'aurait pour conséquence que de faciliter la vie des quasi-professionnels du crime informatique et autres spécialistes du vol d'identité. C'est conforter les consommateurs dans un sentiment de fausse sécurité.
