Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Cyber-attaque, Leak, Piratage

Des sites sportifs dans la ligne de mire de pirates informatiques

Un commentaire

La coupe du monde de football, mais aussi le tour de France cyclisme et autres grands rendez-vous sportifs attirent du monde et de l’argent. Comme l’explique ZATAZ, l’argent coule à flot et les ayants droits n’ont pas l’intention d’en perdre une goute… les pirates non plus. La rédaction de Data Security Breach a appris que plusieurs sites internet sportifs brésiliens auraient été victimes d’une série de chantages de la part de pirates informatiques.

Le chantage numérique, une méthode particulièrement appréciée par des pirates tels que Rex Mundi ou encore Ashurax (arrêté début juin). Le ou les escrocs auraient mis la main sur des données internes et menacent de les diffuser sur le web si une rançon n’était pas versées rapidement. De l’argent réclamé en version bitcoin. D’après les informations de la rédaction de DataSecurityBreach.fr, plusieurs sites brésiliens auraient vécu la même menace (sportbrazil.com.br, acrehoje.com, folha.info). Si Acrehoje est fermé pour « des raisons techniques« , les autres rédactions n’ont pas confirmé les intrusions et menaces.

Pendant ce temps…
Le site Internet de la fédération algérienne de football terminait dans les mains d’un pirate informatique du nom de Algeriano. Durant quelques heures, jeudi soir, le barbouilleur a indiqué en arabe que « Le peuple algérien ne veut pas du gaz de schiste (…) Le peuple algérien ne veut pas de Gourcuff« . Des revendications étonnantes, fusionnant football et préservation de l’environnement. Le jeune homme ne semble pas vouloir de Christian Gourcuff comme nouveau sélectionneur de l’équipe nationale algérienne. Le tout sur l’hymne national du pays. Les deux urls de la FAF (fafdz.com et faf.dz) ont été touchés par ce defacement (barbouillage de site web, ndr DataSecurityBreach.fr). Le jeune pirate derrière cette attaque n’est pas à son premier coup. Il semble être adepte de l’infiltration par logiciel d’espionnage interposé (Cheval de Troie), comme il l’explique sur son Facebook.

Hacking, Rendez-Vous

HackNowLedge Quebec, c’est le 22 août

Organisé par ACISSI lors du salon RSSIL, le challenge de sécurité informatique Hacknowledge a pour objectif de tester les connaissances d’équipes venues de toute la France, mais aussi depuis deux ans, dans différents pays du monde (Maroc, Tunisie, Espagne, Belgique, Côte d’Ivoire, …) Epreuves de hacking éthique via des actions à mener sur des application, du forensic, des options web. Bref, s’affronter dans une excellente ambiance.

Il s’agit de révéler à travers le «Hacknowledge Contest» des talents, qu’ils se situent dans le milieu universitaire, professionnel ou informel. Le but est de faire s’affronter, réunies en équipes, des compétences individuelles, pour promouvoir les compétences disponibles sur le territoire National qui iront ensuite affronter d’autres équipes internationales. Avec pour objectif principal et final de partager les connaissances.

Cette 6ème édition va proposer des « challenges » dans 14 pays. Après un passage en Belgique, c’est à Quebec que les épreuves du HackNowLedge Contest déposeront leurs bits, le 22 août prochain.

Les inscriptions sont ouvertes. http://www.hacknowledge-contest.org/index.php?p=5

BYOD, Chiffrement, cryptage, Entreprise, Fuite de données

Le corsaire Jean-Bart sécurise ses terminaux mobiles

La Communauté Urbaine de Dunkerque, avec 18 communes et 200.000 habitants sous sa coupe, a choisi Good Technology pour sécuriser ses terminaux mobiles tout en garantissant la séparation des données privée et données professionnelles. La communauté urbaine  a été une des premières collectivités territoriales françaises à se soucier de la protection des données professionnelles et personnelles de ses cadres et dirigeants en situation de mobilité.

Ce qui a soulevé la question ? La sortie de l’Iphone 3GS sur le marché français, en 2009. « Tout à coup, les téléphones BlackBerry – dont étaient équipés le Directeur général, le Directeur général adjoint et  quelques proches collaborateurs – ont semblé dépassés » se souvient Alain Vanlichtervelde, en charge de l’intégration et de la gestion des plates formes informatiques pour la Communauté urbaine. La réponse la plus rapide aurait alors été de renouveler les terminaux, tout simplement. Sauf que les insuffisances et risques de cette option sont immédiatement apparus aux yeux du Directeur général adjoint et d’Alain Vanlichtervelde. « L’Iphone étant très ouvert, avec des usages très larges, nous avons vite compris que nous devions trouver une solution pour sécuriser les données professionnelles, explique ce dernier. Il fallait notamment que nous puissions les effacer à distance en cas de perte ou de vol de l’appareil ».

Après une analyse des offres disponibles sur le marché, c’est finalement la solution Good For Enterprise qui a été retenue, pour deux raisons majeures. Sa fiabilité bien sûr. « La technologie du container est clairement apparue comme la plus sûre de toutes celles que nous avons examinées », confirme Alain Vanlichtervelde. Seconde raison : elle seule permettrait une stricte séparation entre les données personnelles et professionnelles sur les appareils. « Un critère clef, car certains cadres ont rapidement exprimé le souhait de consulter leur messagerie professionnelle sur leur téléphone personnel » explique le Directeur des systèmes d’information de la CUD. A l’époque, on ne donnait pas encore de nom à ce phénomène aujourd’hui très répandu, le « Bring Your Own Device »…

Certes, une légère dose de pédagogie a été ensuite nécessaire pour que les cadres et dirigeants concernés s’approprient la solution de Good Technology. « Certains avaient précédemment testé un logiciel de messagerie de push qui s’intégrait très bien avec l’Iphone, et ils en étaient satisfaits » explique en effet Alain Vanlichtervelde. Mais cette solution ne comportait pas la technologie du conteneur, et l’impératif de sécurité a primé. « François VILAIN Directeur général adjoint, Pierre MELEROWICZ DSI et moi-même avons insisté – en entretien individuel parfois – sur la nécessité première de garantir la confidentialité des données, et du carnet d’adresses en particulier, se souvient ce dernier. Finalement le message a été compris et la solution a été bien adoptée ». Seul petit souci : certains appareils de quelques cadres se sont révélés poser quelques problèmes avec la solution de Good Technology, « du fait du manque de mémoire disponible dû en partie à la surcouche de l’opérateur de téléphonie,» explique Alain Vanlichtervelde.

Début 2014, 70 cadres et dirigeants de la Communauté Urbaine de Dunkerque étaient ainsi équipés avec la solution Good For Enterprise – à la fois sur tablette et smartphone pour les seconds. Principales fonctionnalités utilisées ? « Avant tout l’accès à la messagerie professionnelle en situation de mobilité, puis la lecture de documents », répond Alain Vanlichtervelde. Ce dernier peut en effet consulter à tout moment les statistiques d’utilisation…  et s’assurer ainsi que les services mis à disposition ont un réel intérêt.

Parmi ses nombreux projets, le Directeur des Systèmes d’Information de la Communauté urbaine évoque un renforcement de la collaboration avec la ville de Dunkerque, les deux collectivités étant de taille comparables. Nul doute que la sécurité des données professionnelles sera un des sujets de discussion…

Argent, Banque, Cybersécurité, Fuite de données, Paiement en ligne, Twitter, Vie privée

Quand Twitter diffuse des cartes de crédit

3 commentaires
Extrait de la page du bot sur Twitter

Etonnant jeu que celui effectué par des centaines d’internautes, sur Twitter. Ces amateurs pas comme les autres du portail de micro blogging américain sont tellement content de posséder une carte bancaire (credit card, debit card, …) qu’ils en diffusent des photographies, dans l’espace du petit oiseau.

Totalement idiot, surtout que certains diffuseurs placent les informations sensibles (les 16 chiffres, la date de validité, certains même le CVV) à la portée du premier surfeur qui passerait par là.

Plus dingue encore, un bot, un robot Twitter baptisée « besoin d’une carte de crédit« , intercepte les messages et les répertories dans un compte Twitter dédié. Bilan, plusieurs centaines de photos, une cinquantaine de vidéos. Depuis 2012, Twitter laisse faire.

Pour l’américain, les Twitteriens sont responsables de ce qu’ils diffusent ! Bilan, faut pas pleurer si votre CB se retrouve sur Need a Debit Card.

 

Cyber-attaque, DDoS, Leak, Piratage

Trojans mobiles iOS et Android

L’existence d’une infrastructure internationale servant à contrôler des implants malveillants du type RCS « Remote Control System » (Système de Contrôle à Distance) vient d’être révélée par Citizen Lab.

Dans le même temps, des trojans mobiles jusque-là inconnus, fonctionnant aussi bien sous Android que sous iOS. Ces modules font partie de l’outil de spyware « légal » RCS, alias Galileo, développé par la société italienne HackingTeam. La liste des victimes recensées comprend des militants, des avocats des droits de l’homme, ainsi que des journalistes et des responsables politiques.

Où se trouvent les infrastructures RCS ?
Différentes méthodes ont été employées pour localiser les serveurs de commandes et de contrôle (C&C) de Galileo à travers le monde. Les experts se sont appuyés sur des indicateurs spéciaux et des données de connexion obtenues par la rétro-ingénierie d’échantillons existants. Ils sont parvenus à cartographier la présence de plus de 320 serveurs C&C RCS dans au moins une quarantaine de pays. La majorité de ces serveurs se trouvent aux Etats-Unis, au Kazakhstan, en Equateur, au Royaume-Uni et au Canada.

« La présence de ces serveurs dans un pays ne signifie pas pour autant qu’ils sont utilisés par les autorités de ce pays. Cependant, il est pertinent pour les utilisateurs de RCS de déployer des serveurs C&C dans les zones qu’ils contrôlent, là où les risques de problèmes juridiques transfrontaliers ou de saisie du matériel sont moindres.» explique Sergey Golovanov, Principal Security Researcher chez Kaspersky Lab.

Comment agissent les implants malveillants RCS ?
L’existence de trojans mobiles iOS et Android développés par HackingTeam n’est pas un secret mais il n’a jamais été possible jusqu’à maintenant de les identifier, ni même de les rattacher à une attaque. Les experts Kaspersky Lab étudient le malware RCS depuis plusieurs années. Au début de l’année, ils ont pu identifier certains éléments de modules mobiles correspondant à d’autres profils de configuration de malwares RCS issus de leur échantillonnage. Lors des dernières recherches, de nouvelles variantes d’échantillons ont également été reçues via le réseau cloud KSN de Kaspersky Lab. En outre, les experts de la société ont travaillé en étroite collaboration avec Morgan Marquis-Boire de Citizen Lab, qui s’est livré à des recherches poussées sur le malware HackingTeam.

Vecteurs d’infection : Les créateurs du RCS Galileo ont produit un implant malveillant spécifique pour chaque cible. Une fois l’échantillon prêt, l’auteur de l’attaque l’envoie sur le mobile de sa victime. Parmi les vecteurs d’infection connus figurent notamment le « spearphishing » (harponnage) par ingénierie sociale – souvent associé à l’exploitation de failles, en particulier de type « zéro day » – ou des infections locales via les ports USB pendant la synchronisation d’appareils mobiles.

L’une des principales découvertes a consisté à comprendre précisément le mode d’infection d’un iPhone par un trojans mobile Galileo : le téléphone doit pour cela être débridé. Cependant, des iPhones non débridés peuvent eux aussi devenir vulnérables : un attaquant peut se servir d’un outil de « jailbreak » tel qu’Evasi0n via un ordinateur infecté précédemment, et débrider le téléphone à distance avant de le contaminer. Pour éviter tout risque d’infection, les experts de Kaspersky Lab recommandent, d’une part, de ne pas débrider l’iPhone et, d’autre part, d’y installer en permanence la dernière version en date du système iOS.

Espionnage personnalisé : Les modules mobiles RCS sont méticuleusement conçus pour opérer en toute discrétion, par exemple en surveillant étroitement l’autonomie de batterie du mobile. Pour ce faire, ils utilisent des capacités d’espionnage personnalisées ou des déclencheurs spéciaux. C’est ainsi qu’un enregistrement audio peut se déclencher uniquement lorsque la victime est connectée à un réseau Wi-Fi particulier (tel que celui d’un groupe médias) ou lorsqu’elle change de carte SIM ou encore pendant la charge de l’appareil.

En général, les trojans mobiles RCS sont capables de réaliser un grand nombre de tâches de surveillance, qu’il s’agisse de transmettre la géolocalisation de la victime, de prendre des photos, de recopier des événements de l’agenda, d’enregistrer toute nouvelle carte SIM insérée dans le téléphone infecté ou encore d’intercepter les appels téléphoniques et les messages (y compris ceux envoyés par des applications telles que Viber, WhatsApp et Skype, en plus des SMS classiques).

Cyber-attaque, Piratage, Virus

Fraude bancaire : une histoire de Luuuk

Les experts de l’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab ont découvert les preuves d’une attaque ciblée contre les clients d’une grande banque européenne. Selon les fichiers journaux du serveur utilisé par les auteurs de l’attaque, il semblerait qu’en l’espace d’à peine une semaine, des cybercriminels aient dérobé plus d’un demi-million d’euros sur des comptes au sein de l’établissement bancaire. Les premiers signes de cette campagne de fraude ont été détectés le 20 janvier 2014 lorsque les experts de Kaspersky Lab ont repéré un serveur de commande et de contrôle (C&C) sur le réseau. Le tableau de bord du serveur a révélé l’existence d’un cheval de Troie destiné à siphonner les comptes des clients de la banque.

Sur le serveur, les experts ont également trouvé des journaux de transaction, détaillant les montants prélevés et les comptes piratés. Au total, ce sont plus de 190 victimes qui pourraient être recensées, la plupart résidant en Italie et en Turquie. Selon ces informations, les sommes volées sur chaque compte vont de 1 700 à 39 000 euros. La campagne durait depuis au moins une semaine au moment de la découverte du serveur C&C, ayant commencé au plus tard le 13 janvier 2014. A ce moment-là, plus de 500 000 euros avaient été dérobés. Deux jours après cette découverte par l’équipe GReAT, les cybercriminels avaient fait disparaître toute trace qui aurait permis de remonter jusqu’à eux. Cependant, les experts estiment que cela est probablement lié à des modifications de l’infrastructure technique employée par cette campagne malveillante, dénommée The Luuuk, plutôt qu’à son interruption.

« Peu après la détection de ce serveur C&C, nous avons contacté les services de sécurité de la banque et les pouvoirs publics, en leur remettant tous les éléments en notre possession », précise Vicente Diaz, chercheur principal en sécurité chez Kaspersky Lab.

Outils malveillants employés
Dans le cas de The Luuuk, les experts ont des raisons de penser que d’importantes données financières ont été interceptées automatiquement et que des transactions frauduleuses ont été exécutées dès que les victimes se sont connectées à leurs comptes bancaires en ligne. « Sur le serveur C&C, nous n’avons trouvé aucune information indiquant quel programme malveillant spécifique a été utilisé dans cette campagne. Cependant, de nombreuses variantes existantes de Zeus (Citadel, SpyEye, IceIX, etc.) possèdent la capacité nécessaire. Nous pensons donc que le malware employé en l’occurrence pourrait être une variante de Zeus injectant du code Web sophistiqué chez ses victimes », explique Vicente Diaz.

Techniques de détournement de fonds
L’argent volé a été transféré sur les comptes des escrocs de manière assez inhabituelle. Nos experts ont remarqué une originalité dans l’organisation des « mules », c’est-à-dire des comparses qui reçoivent une partie du butin sur des comptes spécialement créés à cet effet et retirent l’argent à des distributeurs. Il s’avère que plusieurs groupes distincts de « mules » se sont vus chargés du transfert de différents montants, l’un étant responsable des sommes de 40 000 à 50 000 euros, un autre de 15 000 à 20 000 et un troisième de 2 000 euros au maximum. « Ces écarts dans les montants confiés aux différentes mules pourraient refléter divers degrés de confiance dans chacune. Nous savons que les membres de ces réseaux dupent souvent leurs complices et disparaissent avec l’argent retiré. Les instigateurs de The Luuuk peuvent donc se couvrir contre ce risque en constituant différents groupes plus ou moins fiables et en leur confiant des sommes plus ou moins élevées », conclut Vicente Diaz. Le serveur C&C lié à The Luuuk a été fermé peu après le début de l’enquête. Cependant, le niveau de complexité de cette opération de type MITB (man in the browser) laisse supposer que les auteurs de l’attaque vont continuer à rechercher de nouvelles victimes.

Cyber-attaque, Leak, Piratage

Libellule, l’insecte qui s’attaque à Internet

Un commentaire

Une campagne de cyber espionnage qui serait toujours en cours a été révélée par l’éditeur de solution de sécurité informatique Symantec.

D’après l’entreprise américaine, cette attaque informatique vise principalement le secteur de l’énergie. Derrière ces malveillances économiques, un groupe de pirates baptisé Dragonfly (Libellule ; Energetic Bear). L’analyse indique que des opérations de sabotages et d’espionnages ont été orchestrées contre les victimes basées aux États-Unis, Espagne, France, Italie, Allemagne, Turquie et Pologne.

Parmi les objectifs de libellule, les gestionnaires de réseaux d’énergie, de grandes entreprises de production d’électricité, les exploitants de pipelines de pétrole, et les fournisseurs d’équipements industriels de l’industrie de l’énergie. Le groupe de libellule semble être bien doté en ressources, avec une gamme d’outils de logiciels malveillants à sa disposition.

Cette campagne s’inscrit dans la lignée de Stuxnet, qui a été la première grande campagne connue de malware à cibler les systèmes d’ICS. Alors que Stuxnet  ciblé le programme nucléaire iranien, un code malveillant signé par les américains, libellule semble avoir une portée beaucoup plus large d’espionnage et de s’ouvrir des accès permanent aux objectifs qui pourraient être sabotés. En plus de compromettre le logiciel ICS, libellule a utilisé des campagnes de pourriels (spams) ainsi que des outils malveillants. Bref, étonnant que des pirates si professionnels utilisent des vecteurs d’attaques comme le spam. Spam qui, du coup, se contre avec des outils de sécurité informatique que commercialise Symantec. Les pirates utilisent la backdoor Oldrea et sa variante, Karagany (5% des infiltrations). Le groupe Libellule semble agir depuis au moins 2011 et commercialise ses codes malveillants dans le blackmarket.

Des pirates fonctionnaires ?
Marrante, l’analyse de Symantec explique que le désassemblage des codes malveillants a permis de définir que Libellule travaille la plupart du temps entre le lundi et le vendredi, avec une activité principalement concentrée dans une période de neuf heures qui correspondrait entre 9h et 18h, sur quatre 4 fuseau horaire. Bref, des Chinois qui ont un petit parfum de pays de l’Est !

Chiffrement, cryptage, Entreprise, Fuite de données, Propriété Industrielle

3 entreprises sur 4 stockent leurs clés de chiffrement dans leurs applications

Un commentaire

Personne n’est à l’abri d’une faille de sécurité.

Les révélations récentes de chercheurs de l’université de Columbia Engineering concernant la possibilité de récupérer des clés secrètes Facebook, Amazon ou Linkedin dans Google Play, l’App Store d’Android, ne sont qu’un exemple de plus qui doit contribuer à alerter les entreprises qui continuent de stocker les clés de chiffrement dans leurs applications. Les données sensibles et la propriété intellectuelle ne sont en sécurité que si les clés utilisées pour les chiffrer le sont. Quand ces clés sont stockées dans des serveurs qui stockent également les logiciels elles sont susceptibles d’être compromises ou perdues.

Pourtant, d’après une étude SafeNet récente, 74% des organisations stockent leurs clés de chiffrement dans leur logiciel. Pour des spécialistes en sécurité IT cette stratégie est comparable à laisser les clés de sa maison sous le paillasson. Il est plutôt conseillé de faire appel à des plateformes spécifiquement dédiées à la gestion de clés et qui permettent de stocker et gérer les clés dans un équipement matériel où elles seront protégées et contrôlées (des boîtiers HSM, pour « Hardware Security Module ». Une technologie qui n’est pas réservée aux grandes entreprises puisque ces boitiers peuvent être achetés par l’entreprise ou utilisés en paiement à la consommation, dans le cloud en mode SaaS). Seules les sociétés qui chiffrent leurs données sensibles et mettent en œuvre ce type de moyens de contrôle robustes et résistants aux attaques peuvent avoir la certitude que leurs données seront protégées même si une faille de sécurité survient.

L’approche la plus réaliste est en effet de considérer qu’une faille de sécurité surviendra (953 millions de fichiers compromis depuis 2013, comptabilisés sur Breachlevelindex.com), et de sécuriser la donnée elle-même par du chiffrement, pour que si elle tombait entre de mauvaises mains elle soit inexploitable. (Julien Champagne, Directeur Commercial France de SafeNet)

Chiffrement, cryptage, Cybersécurité, Fuite de données, Identité numérique, Leak, Vie privée

14 millions de patients médicaux touchés par une fuite de données

Un commentaire

La rédaction de Data Security Breach a reçu le rapport Annuel du HHS, l’US Departement of Health et Human Services, bref, le Ministére de la santé de l’Oncle Sam.

Ce rapport annuel, baptisé « Annual Report to Congress on Breaches of Unsecured Protected Health Information » revient sur les années 2011 et 2012. Cette étude égraine les violations de données en 2011 et 2012. Entre 2011 et 2012, le HHS a reçu 458 rapports de violations de données qui touchent plus de 500 personnes. Au total, c’est environ 14.690.000 de patients, d’employés… à avoir été touchés par des violations de leurs données personnelles, et donc sensibles.

Le nombre de violations de données qui affectent plus de 500 personnes sur cette période compte pour 64,5% de toutes les violations de données depuis le premier rapport, diffusé en septembre 2009. Le vol était la cause la plus commune de ces violations, soit 53% des cas, suivie par l’accès ou la divulgation non autorisée (18%).

En 2012, 68% des infractions touchaient des fournisseurs de soins de santé. 27% des fuites étaient dues à des ordinateurs portables compromis (vol, piratage, …). 23% des informations étaient diffusées en mode « papier » ; 13% via un serveur. En 2012, il y a eu 21.194 infractions signalées affectant moins de 500 personnes. Des violations de données qui ont affecté 165.135 personnes.

Le HHS, suite aux plaintes, a pu récolter 8 millions de dollars d’amende. Bref, le piratage et les fuites de données rapportent aux pirates, comme au gouvernement.

Android, Argent, Banque, Cyber-attaque, escroquerie, Leak, Vie privée, Virus

Des applis Google Play voleuses de données bancaires

Lookout a repéré cette semaine dans le Google Play store une application de banque en ligne clonée, conçue pour subtiliser les identifiants des utilisateurs, mais étrangement sans les mots de passe.

Nous avons aussitôt alerté Google qui a dans la foulée supprimé l’application concernée. Nous tenons à préciser que tous les utilisateurs de Lookout sont protégés contre cette menace. Le programme malveillant incriminé, baptisé « BankMirage », ciblait les clients de la banque israélienne Mizrahi. Les auteurs ont ainsi ajouté une sorte de surcouche à l’application légitime, proposant ensuite leur création de nouveau sur le Google Play store en la faisant passer pour celle de l’établissement bancaire.

Le mode de fonctionnement est simple : dès que la victime lance l’application, le programme malveillant charge le formulaire de connexion, à savoir une page html intégrée à l’application et créée pour dérober l’identifiant de la personne dès qu’elle le saisit. Il s’agit donc d’une tentative de hameçonnage (phishing) des données personnelles. Ce programme a toutefois une étrange particularité : il récupère uniquement l’identifiant de connexion de l’utilisateur. Ses auteurs ont inséré un commentaire dans le code qui commande de collecter uniquement cet élément, et pas le mot de passe.

Une fois l’identifiant récupéré et stocké, l’application envoie un message à l’utilisateur victime pour lui signaler l’échec de sa tentative de connexion. Il est invité à ce moment-là à réinstaller la « vraie » application légitime de la banque sur le Play Store.

Les programmes malveillants qui se font passer pour des applications de banque en ligne comptent parmi les plus dangereux, dans la mesure où ils s’intéressent à des données particulièrement sensibles. Ce type de programme est très présent dans l’Union européenne, dans les pays de la région Asie-Pacifique, et dans une moindre mesure aux Etats-Unis. Nous avons déjà repéré des programmes de banque en ligne créés en Corée qui, au lieu de se glisser dans le catalogue de Google Play, se font carrément passer pour l’application Google Play Store elle-même.

« PlayBanker » en est un exemple : il se fait passer pour Google Play et envoie des alertes aux utilisateurs victimes pour les pousser à télécharger des applications de banque en ligne pirates. Une autre variante, « BankUn », vérifie pour sa part au préalable la présence des huit plus grandes applications légitimes des banques en ligne coréennes, pour les remplacer ensuite par des versions pirates.

Il est hélas difficile pour un utilisateur de se prémunir d’une application de ce type parvenant à se faire référencer dans le Google Play store ; les moyens de protection classiques ne suffisent pas. Comme par exemple le fait de vérifier que le développeur de l’application est digne de confiance, ou de s’assurer que la case « Sources inconnues » (dans les paramètres système du téléphone) n’est pas cochée afin de bloquer l’installation furtive d’applications téléchargées à son insu.

Mieux vaut faire preuve de bon sens : la présence de deux versions apparemment identiques d’une même application peut signifier que l’une d’elles est illégitime. Pour être protégé à 100% contre ce type de menace, la meilleure solution consiste à installer sur le téléphone une solution de sécurité telle que Lookout, qui analyse systématiquement toutes les applications téléchargées.