Archives de catégorie : Argent

Argent, Banque, Cybersécurité, Fuite de données, Paiement en ligne, Twitter, Vie privée

Quand Twitter diffuse des cartes de crédit

3 commentaires
Extrait de la page du bot sur Twitter

Etonnant jeu que celui effectué par des centaines d’internautes, sur Twitter. Ces amateurs pas comme les autres du portail de micro blogging américain sont tellement content de posséder une carte bancaire (credit card, debit card, …) qu’ils en diffusent des photographies, dans l’espace du petit oiseau.

Totalement idiot, surtout que certains diffuseurs placent les informations sensibles (les 16 chiffres, la date de validité, certains même le CVV) à la portée du premier surfeur qui passerait par là.

Plus dingue encore, un bot, un robot Twitter baptisée « besoin d’une carte de crédit« , intercepte les messages et les répertories dans un compte Twitter dédié. Bilan, plusieurs centaines de photos, une cinquantaine de vidéos. Depuis 2012, Twitter laisse faire.

Pour l’américain, les Twitteriens sont responsables de ce qu’ils diffusent ! Bilan, faut pas pleurer si votre CB se retrouve sur Need a Debit Card.

 

Android, Argent, Banque, Cyber-attaque, escroquerie, Leak, Vie privée, Virus

Des applis Google Play voleuses de données bancaires

Lookout a repéré cette semaine dans le Google Play store une application de banque en ligne clonée, conçue pour subtiliser les identifiants des utilisateurs, mais étrangement sans les mots de passe.

Nous avons aussitôt alerté Google qui a dans la foulée supprimé l’application concernée. Nous tenons à préciser que tous les utilisateurs de Lookout sont protégés contre cette menace. Le programme malveillant incriminé, baptisé « BankMirage », ciblait les clients de la banque israélienne Mizrahi. Les auteurs ont ainsi ajouté une sorte de surcouche à l’application légitime, proposant ensuite leur création de nouveau sur le Google Play store en la faisant passer pour celle de l’établissement bancaire.

Le mode de fonctionnement est simple : dès que la victime lance l’application, le programme malveillant charge le formulaire de connexion, à savoir une page html intégrée à l’application et créée pour dérober l’identifiant de la personne dès qu’elle le saisit. Il s’agit donc d’une tentative de hameçonnage (phishing) des données personnelles. Ce programme a toutefois une étrange particularité : il récupère uniquement l’identifiant de connexion de l’utilisateur. Ses auteurs ont inséré un commentaire dans le code qui commande de collecter uniquement cet élément, et pas le mot de passe.

Une fois l’identifiant récupéré et stocké, l’application envoie un message à l’utilisateur victime pour lui signaler l’échec de sa tentative de connexion. Il est invité à ce moment-là à réinstaller la « vraie » application légitime de la banque sur le Play Store.

Les programmes malveillants qui se font passer pour des applications de banque en ligne comptent parmi les plus dangereux, dans la mesure où ils s’intéressent à des données particulièrement sensibles. Ce type de programme est très présent dans l’Union européenne, dans les pays de la région Asie-Pacifique, et dans une moindre mesure aux Etats-Unis. Nous avons déjà repéré des programmes de banque en ligne créés en Corée qui, au lieu de se glisser dans le catalogue de Google Play, se font carrément passer pour l’application Google Play Store elle-même.

« PlayBanker » en est un exemple : il se fait passer pour Google Play et envoie des alertes aux utilisateurs victimes pour les pousser à télécharger des applications de banque en ligne pirates. Une autre variante, « BankUn », vérifie pour sa part au préalable la présence des huit plus grandes applications légitimes des banques en ligne coréennes, pour les remplacer ensuite par des versions pirates.

Il est hélas difficile pour un utilisateur de se prémunir d’une application de ce type parvenant à se faire référencer dans le Google Play store ; les moyens de protection classiques ne suffisent pas. Comme par exemple le fait de vérifier que le développeur de l’application est digne de confiance, ou de s’assurer que la case « Sources inconnues » (dans les paramètres système du téléphone) n’est pas cochée afin de bloquer l’installation furtive d’applications téléchargées à son insu.

Mieux vaut faire preuve de bon sens : la présence de deux versions apparemment identiques d’une même application peut signifier que l’une d’elles est illégitime. Pour être protégé à 100% contre ce type de menace, la meilleure solution consiste à installer sur le téléphone une solution de sécurité telle que Lookout, qui analyse systématiquement toutes les applications téléchargées.

Argent, Banque, Chiffrement, cryptage, Cybersécurité, Identité numérique

Le paiement biométrique bientôt possible dans le système CB

Le Groupement des Cartes Bancaires CB évalue actuellement le principe de la biométrie appliquée au paiement et devrait d’ici la fin de cette année octroyer un agrément au standard d’authentification forte défini par Natural Security Alliance pour autoriser son utilisation dans le système CB.

Le premier agrément CB portera sur l’association de la biométrie avec une puce insérée dans un porte-clefs. L’intégration de cette puce dans la carte micro-SD d’un téléphone est également étudiée. Très pratique, l’utilisateur gardera sur lui ce porte-clefs ou ce téléphone (dans une poche, dans un sac) et n’aura pas besoin de le rechercher ou de le présenter pour effectuer un paiement ou un retrait. Outre le fait que la biométrie simplifie l’acte d’authentification avec juste un doigt à poser et plus de code confidentiel à saisir, elle renforce également la sécurité en garantissant la présence du porteur au moment de la transaction.

De plus, la mise en oeuvre de cette solution garantit le respect de la vie privée et des données personnelles de l’utilisateur puisqu’aucune base de données ne centralise les données biométriques de l’utilisateur, celles-ci restant dans la puce intégrée dans le porte-clefs ou le téléphone. Gilbert Arira, Directeur Général du Groupement des Cartes Bancaires CB : « on accorde aux produits CB. ici la fin de cette année 2014 ».

Pour Cédric Hozanne, CEO de Natural Security Alliance : « Les travaux d’agrément engagés par le Groupement des Cartes Bancaires CB constituent une étape très importante pour l’adoption de notre technologie dans le domaine du paiement puis du retrait. Cet agrément permettra aux banques françaises de proposer à leurs clients une nouvelle manière de payer qui tout en renforçant la sécurité, apportera simplicité, sérénité et praticité. CB a été le premier à adopter et à promouvoir la technologie de la carte à puce dès 1992 adoptée depuis par l’ensemble des autres pays. Avec le standard Natural Security, CB montre à nouveau la voie à suivre pour le monde de l’industrie des paiements sécurisés ».

Argent, Banque, Chiffrement, cryptage

Les banques peuvent désactiver le paiement sans contact

La France compte, depuis avril 2014, pas moins de 21 millions de cartes bancaires permettant le paiement sans contact. Des CB imposées par les banques. Elles embarquent la technologie NFC qui permet, en plaçant sa CB à quelques centimètres d’un lecteur dédié, de payer sans être obligé de taper son mot de passe. Une possibilité qui inquiètent depuis 2012, quand un chercheur Français, Renaud Lifchitz, a présenté lors de feu HES 2012 la faille qui permet de lire les données « cachées » dans le précieux bout de plastique.

Il faut dire aussi que les banques ont lancé un service qui n’est ni chiffré, ni contrôlé par un quelconque moyen d’identification. 01net (le site web), revient sur cette technologie en indiquant que les banques auraient fait un stock de protection anti-NFC (Voir l’utilité de ce genre de protection dans ZATAZ WEB TV, ndlr).

Pourquoi cette faille n’est toujours pas corrigée ? « c’est impossible à moins de changer l’architecture technique sous-jacente, ce qui serait beaucoup trop cher » dixit les chercheurs. 01net explique aussi que La Banque de France a demandé aux sociétés financières de fournir un anti-NFC dés que le client en fait la demande.

La Banque de France oblige également les banques à mettre en place la désactivation du NFC à la demande des clients. Le coût de l’opération serait de 10€ par carte indique un expert en sécurité. Après renseignements de DataSecuritybreach.fr auprès de plusieurs banques, les sociétés renvoient les CB pour modification. Autant dire que cela coûte plus de 10 euros !

Il aura fallu une plainte de la CNIL pour que certaines informations disparaissent des communications NFC : nom du client, historique des transactions.

Argent, Banque, Cybersécurité, Paiement en ligne

Livre Blanc Certissim : la fraude identitaire prend de l’ampleur

Un commentaire

Depuis 2000, le Livre Blanc Certissim apporte sa vision de la fraude sur le marché du e-commerce français. Document de référence pour les e-marchands souhaitant optimiser leur gestion de la fraude, le Livre Blanc Certissim présente les grands indicateurs de la fraude dans le e-commerce ainsi que les nouveaux enjeux de la lutte contre la fraude.

L’expertise de Certissim et son implication dans la lutte contre la fraude lui permettent également de décrire les nouvelles techniques des cybercriminels. Les données du Livre Blanc Certissim proviennent des fraudes détectées par son système ainsi que des déclarations d’incidents de paiement de ses 900 sites marchands partenaires.

L’édition 2014 de cette étude met en avant une augmentation et une diversification des méthodes d’usurpation des données personnelles ainsi qu’une généralisation de la fraude sur l’ensemble du territoire. Les tentatives de fraude s’élèvent à près de 2 milliards d’euros en 2013, contre 1,7 milliards une année plus tôt. La projection des taux de Certissim sur l’ensemble du e-commerce français, soit 51,1 milliards d’euros de chiffre d’affaires(1), indique que l’ensemble des tentatives de fraude se chiffrerait a minima à 1,9 milliard d’euros en 2013. Les enjeux financiers sont par conséquent significatifs à l’échelle de l’économie numérique nationale. Sur le périmètre étudié par Certissim, le taux de tentatives de fraude dans le e-commerce s’est stabilisé à 3,83 % (3,91 % en 2012). Le taux d’impayés frauduleux est en baisse à 0,14 % (0,18 % en 2012)(2) . Le panier moyen des impayés est de 243 €. Si le risque reste important, la fraude dans le e-commerce est mieux maîtrisée.

Fraude identitaire : croissance des usurpations de comptes clients
Certissim alerte les particuliers et les professionnels sur l’évolution des méthodes de phishing(3) observée en 2013. Les auteurs de phishing ne se contentent plus d’essayer de récupérer des coordonnées bancaires. Désormais, ils cherchent à récolter tous types de données personnelles : état civil, coordonnées (postales, bancaires, téléphoniques), mots de passe, réponses aux questions secrètes, etc. L’objectif pour eux est d’utiliser une identité « propre » et crédible pour commander en ligne.

En cumulant les informations issues de phishing et des réseaux sociaux, DataSecurityBreach.fr a pu lire que les fraudeurs parviennent à prendre possession de comptes clients de e-acheteurs honnêtes connus des e-commerçants. Ces usurpations sont possibles notamment à cause de la négligence des particuliers quant à la écurisation de leurs mots de passe. Une fois connecté, les fraudeurs s’approprient le compte client, en modifiant l’adresse e-mail et le numéro de téléphone, et commandent avec des numéros de cartes bancaires volés. En outre, le fraudeur n’est pas inquiété mais le vrai détenteur du compte client doit prouver qu’il n’est pas à l’origine des commandes frauduleuses.

Aucune région française n’est épargnée par la fraude
Certissim dresse un double constat à partir des adresses de livraison des commandes frauduleuses (tentatives de fraude et impayés). Le phénomène de concentration de la fraude en zones urbaines se confirme. Les fraudeurs utilisent des adresses de livraison situées dans les grands centres urbains afin de se fondre dans la masse des commandes en ligne effectuées quotidiennement. Ils disposent alors d’un important marché de revente à proximité de leurs lieux de livraison. Les cas de fraudes en zones rurales augmentent. En province, les fraudeurs  privilégient la livraison en point relais. Pour ne pas être repérés, ils comptent sur la méconnaissance de leurs procédés de la part d’autorités locales peu confrontées à la fraude.

(1) Données Fevad, janvier 2014
(2)Taux de tentatives de fraude et d’impayés en valeur
(3) Hameçonnage

Argent, Arnaque, Chiffrement, Contrefaçon, escroquerie, Logiciels

5 étapes pour sécuriser la confidentialité de votre navigateur

Un commentaire

Peu importe la source, toutes les statistiques que vous trouverez prouvent que les navigateurs les plus utilisés sont Chrome, Firefox et Internet Explorer. De nombreuses études et tests ont été effectués pour découvrir quel était le plus sûr de tous. Cependant, les tests ne font que démontrer la capacité de chaque navigateur à répondre à un ensemble de tests prédéfinis, habituellement appelé « sécurité de base ». Néanmoins, cette base change radicalement tous les mois.

Résultat, aucun navigateur n’est sûr à 100% même si certains navigateurs réparent les failles de sécurité plus rapidement que d’autres. Alors comment est-il possible d’améliorer son expérience de navigation sur Internet ? C’est dans ce but, que Sorin Mustaca, expert en sécurité IT d’Avira, propose 5 étapes pour une navigation plus sûre, plus confidentielle et peut-être même indirectement, plus rapide:

1.     Maintenez votre navigateur à jour
C’est la première étape de renforcement du navigateur car un navigateur vulnérable peut être exploité par une simple visite de sites Internet sans que vous n’en sachiez rien. Nous vous conseillons de toujours autoriser les mises à jour automatiques et de les installer aussitôt qu’elles sont disponibles. En cas de doute, installez un outil gratuit qui contrôle les failles potentielles de votre logiciel.

2.     Augmenter la sécurité intégrée dans votre navigateur
C’est la deuxième étape de renforcement du navigateur, elle peut être gérer de différentes façons :
– Configurez votre navigateur pour qu’il rejette les cookies tiers
– Désactivez les plugins dont vous n’avez pas besoin comme : ActiveX, Java, Flash etc.
– Permettez la protection anti-phishing et anti-malware déjà intégrée
– Configurez le navigateur pour envoyer la requête « ne pas traquer » à votre historique de navigation
– Chaque fois que cela est possible, désactivez le script actif. Soyez conscient que certains sites web ne pourront tout simplement pas fonctionner sans script (JavaScript en particulier).

Dans Internet Explorer, nombre de ces configurations peuvent être mises en place en changeant les paramètres dans « Sécurité » et « Confidentialité ».
– Activez le bloqueur intégré de pop-up
– Désactivez les anciennes barres d’outils qui ne vous sont plus utiles. (Avez-vous vraiment besoin de voir la météo ou avoir un traducteur à portée de main tout le temps?)

3.     Choisissez avec précaution quel plugin vous allez installer
Les plugins et add-ons permettent d’étendre facilement les fonctionnalités du navigateur. Cependant, il existe de nombreux plugins, même disponibles sur les stores officiels, qui sont, soit, malveillants, soit, qui présentent des problèmes importants en matière de sécurité et de confidentialité. Le plus inquiétant est que pour un utilisateur lambda, ces problèmes ne sont pas visibles jusqu’à ce qu’il soit trop tard. Ayez toujours en tête qu’un plugin a accès à tout ce que vous cliquez et voyez sur le navigateur, y compris toutes vos navigations en connexions cryptées. Le plugin réside dans le navigateur et a accès à tout ce que l’utilisateur voit. Le contenu est donc déjà décrypté et il n’y a absolument rien qui puisse empêcher un plugin malveillant d’envoyer toutes vos informations (bancaires, personnelles, etc.) à une quelconque adresse internet. Jetez toujours un coup d’œil sur le classement donné par d’autres utilisateurs avant d’installer un add-on. De plus, gardez un œil sur les autorisations demandées par l’add-on. Par exemple, si un message instantané d’add-on requiert l’accès à toutes vos URL, cela devrait vous mettre la puce à l’oreille.

4.     Installez les plugins de sécurité et de confidentialité
Il existe des extensions qui améliorent votre sécurité en faisant un filtrage sur les URL que vous visitez ou même de manière dynamique en analysant le contenu des pages internet. C’est le cas d’Avira Browser Safety. Si vous préférez choisir vous-mêmes vos extensions, il en existe de nombreuses qui empêchent le « tracking » et la publicité. Vous pouvez également utiliser Web of Trust (WOT), basé sur le crowdsourcing, il donne un point de vue indépendant sur le statut des URL.

5.     Forcez l’utilisation du protocole SSL quand cela est possible
Des extensions telles que HTTPS Anywhere essaient de choisir une connexion HTTPS au lieu de HTTP quand celle-ci est disponible pour sécuriser votre navigation.

Argent, Banque, Piratage

Piratage de CB : La police Française débarque en Bulgarie

2 commentaires

Deux ressortissants bulgares, arrêtés en 2011, viennent d’apprendre que leurs cas n’allaient pas s’arranger de sitôt.

La police Français, qui les avait arrêté en flagrant délit de pose de skimmeur sur un distributeur de billets, vient de débarquer ce 22 mai à leurs domiciles de Varna et Silistra, en Bulgarie. Les deux voleurs avaient caché dans leurs appartements respectifs le parfait petit nécessaire du pirate de distributeur de banque.

Des centaines de cartes bancaires vierges, prêtes à être clonées, et du matériel de skimming ont été saisis. La procédure de mandat d’arrêt européen a été lancée par le parquet de la Juridiction Inter-régionale Spécialisée (JIRS) de Nancy. Les deux hommes font partie d’un réseau international. Ils auraient trafiqué, avant de venir en France, des Guichets Automatiques de Billets allemands. (F3)

Argent, Banque, Chiffrement, cryptage, Cybersécurité

Faiblesses dans les cartes à puces

Alors que les Etats-Unis d’Amérique réfléchissent à implanter la carte à puce dans le pays, lire notre actualité de mars 2014, des chercheurs de la prestigieuse université de Cambridge viennent de démontrer deux faiblesses dans la procédure ‘chip & pin’, une puce, un code secret. Il est évident que la puce, couplée à un mot de passe reste la meilleure des sécurité face à une carte bancaire n’utilisant que la bande magnétique, cependant, les chercheurs de Cambridge ont observé qu’il était possible de jouer avec la puce EMV.

Cette protection, utilisée dans un terminal de paiement que l’on retrouve dans quasiment tous les commerces, engendre un code d’authentification unique, un numéro aléatoire. Ce code pourrait être contourné de deux façons. Les chercheurs expliquent d’ailleurs que cela a déjà été constaté. Dans le premier cas, le code unique peut être prévu. Dans le second problème apparait quand le terminal de paiement a été piraté. Si des pirates peuvent prévoir les codes, voir l’adapter, il devient possible, via une carte bancaire préalablement clonée, de retirer de l’argent ou de faire un paiement.

Bref, l’étape du skimming 3.0 est en marche. Les banques auront bien du mal à définir un paiement légitime, d’un paiement cloné. Les clients piégés ne pourront plus se faire rembourser, à moins de prouver qu’ils n’étaient pas sur le lieu de la transaction. Et même dans ce cas, nous avons un doute sur la potentialité de remboursement. Il existerait dans le monde 1,62 milliard de cartes exploitant le protocole EMV. ZATAZ.COM révélait (voir les archives) des cas de piratages, via des DAB modifiés/piratés, l’année derniére.

 

Argent, Arnaque, escroquerie, Particuliers

World Cup 2014 : Pirate 1 / Brésil 0

Un commentaire

Ce ne sont pas seulement les fans qui se frottent les mains à l’idée de la prochaine Coupe du Monde au Brésil. Les fraudeurs du monde entier sont entrés en action : ils offrent en ligne une foule d’articles autour de l’événement allant des maillots de football et objets promotionnels des équipes, mais aussi des applications mobiles ou de faux sites de paris en ligne. Mais la plus grande menace liée au succès du tournoi reste la vente illégale de billets.

MarkMonitor, le spécialiste de la protection de marque a suivi la présence de sites de vente en ligne de billets depuis début avril et a identifié 510 annonces de vente de billets pour la Coupe du Monde, tous expédiés en France ou dans le reste de l’Europe, ce qui équivaut à plus de 275 000 €, pour un prix moyen de 553 € le billet. Malgré la politique de revente de billets stricte de la FIFA, des billets non valables, sont toujours proposés à la vente en ligne. En les achetant, les fans s’exposent à être refoulés à l’entrée de stades, incapables de profiter des jeux qu’ils ont payés pour voir.

Et autant dire que se retrouver au Brésil, avec de faux billets, face à un stade hurlant, ça risque de faire drôle au porte monnaie.

Argent, Arnaque, Banque, Cybersécurité, escroquerie, Paiement en ligne, Phishing, Scam

Hausse de la fraude bancaire en France

La dernière étude de l’Observatoire national de la délinquance et des réponses pénales (ONDRP) annonce plus de 700.000 piratages bancaires en France, par an. Voilà qui devient intéressant. Les chiffres de la dernière étude de l’Observatoire national de la délinquance et des réponses pénales (ONDRP) montre qu’il y aurait eu une hausse de 43% des piratages de données bancaires, en France, entre 2010 et 2013. Plus de 700.000 victimes se sont déclarées.

Le rythme des arnaques à la carte bancaire en France ne cesserait d’augmenter indique le Figaro à la suite de cette étude de l’Observatoire national de la délinquance et des réponses pénales (ONDRP) relative aux « débits frauduleux sur les comptes bancaires ». Des faits déclarés par des victimes lors d’une enquête « cadre de vie et sécurité » lancée par l’Insee. 14.500 ménages ont été interrogés pour cette enquête.

En 2010, 500.000 cas de fraudes bancaires avaient été annoncés. Trois ans plus tard, 200.000 nouveaux se sont invités dans ce compteur qui ne cesse d’augmenter. A noter que le rapport officiel de l’Observatoire de la Sécurité des Cartes de Paiement (OSCP) sur ce sujet doit être publié en juillet prochain. En 2012 (le site n’affiche aucun rapport pour 2013, ndr) l’OSCP annonçait un taux de fraude pour l’année 2011 à 0,077 % « en légère augmentation pour la quatrième année consécutive« . Cela correspondait à un montant total de fraude de 413,2 millions d’euros (contre 0,074 % et 368,9 millions d’euros en 2010).