Prendre les devants pour atténuer la fraude mobile

Remarque : certains des liens menant vers d'autres pages sont uniquement disponibles en anglais.

Dans notre monde numérique, nous utilisons nos appareils mobiles plus souvent que jamais auparavant, particulièrement pour communiquer avec les fournisseurs de services financiers et gérer nos comptes bancaires à distance. Au Royaume-Uni, les clients des entreprises bancaires se tournent de plus en plus vers les canaux mobiles pour répondre à leurs besoins financiers. Pour mettre les choses en perspective, des données recueillies par Statista démontrent qu’en 2008, seuls 38 % des Britanniques ont utilisé des services bancaires en ligne et mobiles, alors qu’en 2021, ce pourcentage a explosé pour atteindre 80 %. L’an dernier, UK Finance a signalé que la hausse du nombre de fraudes sur les appareils mobiles est directement proportionnelle au passage vers l’utilisation des services bancaires mobiles. Il s’agit d’un canal lucratif pour les cybercriminels, et cette situation ne changera pas en 2022.

Récemment, des chercheurs ont observé d’autres preuves qui démontrent que les applications bancaires mobiles sont des cibles attrayantes pour les fraudeurs. Ces chercheurs ont découvert que des entités mal intentionnées modifient leurs techniques pour trouver de nouvelles façons de contourner les restrictions du magasin Google Play. Des applications qui semblaient inoffensives sont restées sécuritaires pendant des mois, jusqu’à ce que leurs mises à jour commencent lentement à intégrer du code malveillant. En raison de la lenteur de ces attaques, les simples analyses antivirus n’arrivaient pas à identifier la menace. Une fois les applications prêtes, les fraudeurs utilisaient le code pour télécharger des applications sans l’autorisation de l’utilisateur, pour finalement télécharger des chevaux de Troie bancaires sur Android.

Comme Google continue de mettre à jour la façon dont elle contrôle les applications sur son magasin Play, les institutions financières (IF) doivent s’attendre à ce que les campagnes de fraude s’attaquant aux appareils mobiles continuent d’évoluer et de passer dans les mailles du filet malgré les bonnes intentions de Google. Il est essentiel de comprendre que la sécurité n’est jamais un point fixe dans le temps. Par ailleurs, la robustesse de la sécurité de l’appareil d’un utilisateur peut évoluer au fil du temps. Dans un tel cas, avant que l’application frauduleuse télécharge la charge malveillante, on peut supposer que l’appareil était sécuritaire. Voyons donc comment ces attaques se sont produites, ce qu’elles ont provoqué comme conséquences et la façon dont les banques peuvent prendre les devants pour atténuer des attaques semblables envers leurs clients dans l’avenir.

Leçons à tirer — des applications mobiles jusqu’aux comptes bancaires

Les applications mobiles sont créées à l’aide de centaines, voire de milliers de lignes de code; au final, Google Play automatise donc un grand nombre des vérifications qu’il fait pour déceler le code malveillant dans des milliers d’applications chaque jour. Nous constatons aujourd’hui que les applications utilisées pour infiltrer les magasins d’applications sont fonctionnelles et semblent sécuritaires, puisqu’elles induisent les vérifications de détection en erreur jusqu’à ce que les cybercriminels déploient l’attaque frauduleuse.

Une fois que le code malveillant est téléversé sur l’appareil, les pirates peuvent facilement tromper les utilisateurs en les invitant à télécharger une mise à jour de l’application à partir d’une source inconnue ou d’une source tierce.

La mise à jour permet aux cybercriminels d’abuser des paramètres d’accessibilité — conçus pour simplifier l’utilisation du téléphone pour les personnes ayant une invalidité — afin d’automatiser les fonctionnalités de l’appareil mobile de manière à ce qu’elles commettent une fraude. Certaines de ces applications malveillantes ont permis aux pirates d’abuser de ces paramètres pour effectuer des attaques superposées et intégrer des outils d’enregistrement de la frappe dans l’appareil, afin qu’ils puissent voler les noms d’utilisateur et les mots de passe ou exécuter des lignes de code qui permettent de voler des données personnelles. Pour rester au-devant de ces menaces, divers secteurs doivent agir de façon proactive en ce qui a trait à la sécurité des applications mobiles.

La sécurité comme partenariat

Google et d’autres fournisseurs de magasins d’application réviseront continuellement leurs procédures de sécurité afin de rendre leurs plateformes et appareils plus sécuritaires. Or, les grandes entreprises de technologies, comme Google, doivent constamment gérer un si grand nombre de nouvelles applications et de mises à jour qu’il est inévitable que de nombreuses applications malveillantes réussissent à s’infiltrer dans le magasin d’applications.

En outre, depuis longtemps, il est nécessaire de sensibiliser les clients au sujet des menaces qui les guettent. Les banques déploient des efforts notables pour prévenir leurs clients au sujet des menaces potentielles comme le fait de cliquer sur des liens suspects envoyés par SMS ou par courriel ou la nécessité de ne rien télécharger, sur leur appareil, d’élément qui provient d’une source non fiable.

Mais la vérité, c’est qu’il est inévitable que quelqu’un commette une erreur, car les pirates utilisent diverses techniques pour gagner la confiance d’un utilisateur. Lorsque les applications semblent complètement inoffensives, il est beaucoup trop facile que des situations comme celle-là se produisent. Le plus probable, c’est qu’au moment où les banques avertissent leurs clients au sujet de menaces en particulier, les pirates sont déjà en train de mettre au point des techniques plus évoluées et de trouver des manières de confondre leurs victimes, qui ne s’en méfient pas.

Même si les grandes entreprises de technologies mettent à jour de façon proactive les exigences de sécurité pour leurs magasins d’application et qu’elles unissent leurs forces pour sensibiliser les consommateurs, il est essentiel d’utiliser des technologies de sécurité avancée pour pallier les lacunes et atténuer les activités potentiellement frauduleuses — qu’il s’agisse de menaces connues ou inconnues.

Une sécurité assurée même dans des environnements non sécuritaires

Les banques et les IF n’ont aucun contrôle sur ce que leurs clients font sur leurs appareils mobiles à l’extérieur de leurs applications. La première étape du processus permettant de sécuriser les applications bancaires mobiles consiste donc à présumer que ces applications fonctionnent en continu dans des environnements non sécuritaires. Si on n’utilise pas cette approche, on transfère implicitement la responsabilité de la sécurité aux grandes entreprises de technologies. Cependant, les consommateurs s’attendront tout de même à ce que leur banque protège l’argent qui se trouve dans leurs comptes.

Afin d’atténuer ces types d’attaques, les applications bancaires doivent déployer des technologies qui peuvent repérer toute activité malveillante ou toute interférence dans une application mobile avant que les fonds ne puissent être volés — même si des menaces jamais vues auparavant ont ciblé les consommateurs. Le blindage des applications, combiné à une authentification forte client, peut prévenir le vol de mots de passe et garantir l’intégrité de l’environnement d’exécution de l’application en détectant les interférences malveillantes avec l’application et fermer cette application, même sur les appareils infectés.

Le blindage des applications offre une protection robuste contre les menaces inconnues sur les appareils non sécuritaires, mais les mécanismes de sécurité sur lesquels il s’appuie ont un impact restreint, voire nul, sur l’expérience utilisateur.

Lorsque nous discutons des techniques les plus récentes qu’utilisent les pirates pour commettre des activités frauduleuses, ces pirates sont déjà en train de planifier leur prochaine campagne et de trouver des méthodes novatrices pour la mettre en œuvre. Au cours de la prochaine année, les chercheurs continueront de documenter les nouvelles menaces et techniques, mais pour atténuer les dommages que ces nouvelles menaces peuvent causer, il faut mettre en œuvre des technologies avancées — capables d’identifier les nouvelles menaces et de les prévenir quand elles émergent et au fur et à mesure où elles arrivent sur le marché.

Ce blogue, rédigé par Ralitsa Miteva, directrice de l’identité numérique et de la sécurité mobile à OneSpan, a été publié pour la première fois dans Information-Age.com.