Des phishings web permettent de piéger le système 3D Secure et Avast perturbe le système de validation de paiement. Les pirates informatiques viennent de trouver une méthode assez étonnante pour piéger le système 3D Secure mis en place dans les banques. Pour rappel, le système de sécurité 3D Secure permet de confirmer une transaction financière, entre vous et une boutique par exemple, qu’à la condition ou vous confirmiez l’action par l’introduction d’un code, en plus de vos identifiants de base, reçu par SMS. Bref, une double authentification rassurante et efficace.

Seulement c’était oublier l’ingéniosité malveillante des professionnels de l’escroquerie numérique. Il a été rapporté à la connaissance de la rédaction une méthode non négligeable employée par des pirates. De plus en plus de banque permettent aux clients de joindre par messagerie privée, directement via le site de la banque, le conseiller financier. Le client, pour accéder à cette option proposée dans son espace bancaire privé numérique, doit fournir : son login, mot de passe et la plupart du temps, un code secret supplémentaire de connexion tiré soit d’une application, soit d’une carte papier comportant une série unique de chiffres. Série qui ne peut s’employer qu’une fois, pour une seule connexion. Les suivantes réclament de nouveaux codes.

Des attaques phishing ont été lancées dernièrement permettant aux pirates d’exploiter les comptes bancaires. Pour pallier la sécurité 3D Secure, ils font changer le numéro de téléphone du client piégé, directement via le service online de messagerie privée client/conseiller. Bilan, le pirate possède le moyen de récupérer de l’argent, tout en confirmant l’action via le code 3d secure détourné. Le nouveau numéro de téléphone renvoyant le 3d secure sur un combiné (volé ou à usage unique) utilisé par le voleur.

Pendant ce temps, et depuis le 12 décembre, de nombreux e-marchands se plaignent d’un taux d’échec important sur les paiements au moment du 3D Secure. Après de longues investigations, le service technique de la société Payzen a enfin trouvé la cause : La dernière mise à jour de l’antivirus Avast 2014.

Tous les e-commerçants sont concernés par ce problème quelques soient leur plateforme de paiement. Lors d’un paiement 3D Secure, l’internaute est dirigé depuis la plateforme de paiement vers un ACS afin de s’authentifier. Cet ACS reçoit un PAReq (Payment Authentication Request) et émet en suivant un PARes (Payment Authentication Response) à destination de la plateforme de paiement. Ce PARes informe du succès ou de l’échec de l’authentification. Or tout ceci se fait évidement via le navigateur de l’internaute. La dernière version d’Avast « à l’évidence buggée, indique Payzen tronque le code en supprimant des octets. La plateforme de paiement n’a plus toutes les informations et donc ne peut pas savoir si l’authentification est valide ou non« .