Ces derniers mois, on a pu lire plus d'un article sur les chevaux de Troie bancaires qui vident les comptes en ligne de petites entreprises aux Etats-Unis.

C'est en 2007 que les chevaux de Troie bancaires MitE ont atteint leur « plus haut niveau de perfectionnement ». Ces chevaux de Troie, extrêmement sophistiqués, exploitent les défaillances propres aux banques dans la mise en ?uvre de l'authentification à deux facteurs. En effet, les banques sont encore nombreuses à ne pas utiliser d'authentification à deux facteurs dans leurs transactions et, pour celles qui le font, il s'agit d'une authentification très facile à pirater. Pour la sécurité des opérations bancaires en ligne, une authentification multifacteur est indispensable. Le code d'authentification doit être reçu ou généré sur un appareil non connecté à celui qui effectue la transaction. L'idéal serait que non seulement le code d'autorisation de la transaction, mais également le mot de passe de connexion au site de la banque soient générés dynamiquement. Il est important de se rappeler que les opérations de connexion et d'approbation des transactions nécessitent chacune un algorithme de réponse cryptographique différent. La solution à cet énorme problème est en fait assez simple. Il suffit d'intégrer le numéro de compte bancaire destinataire au processus d'authentification, puis de l'envoyer par SMS ou de le demander au moment de l'authentification, si l'on utilise un bon. L'utilisateur sait où l'argent est censé aller.

Ce qu'il faut également garder à l'esprit, c'est que depuis 2006-2007, les choses ont bien changé. Le programme malveillant lambda est aujourd'hui bien plus élaboré. Le « form grabbing » (méthode de capture des données), par exemple, est plutôt banal. Autre exemple, le fait que Microsoft a dû créer un correctif pour résoudre des problèmes engendrés par le très moderne rootkit TDSS.

En d'autres termes, nous avons besoin de systèmes en ligne capables de résister à des programmes malveillants très performants.

Or, l'état de la banque en ligne rappelle celui d'Internet : bien des banques ont négligé les mesures de sécurité qui s'imposaient lorsqu'elles ont élaboré leurs opérations en ligne. Elles se sont d'abord concentrées sur l'aspect pratique. Internet a été créé pratiquement selon les mêmes

Source :