Pour gérer vos consentements :
Categories: Cloud

Phishing : ActivCard tire la sonnette d’alarme

Pour ActivCard, c’est la plus grande menace pour le développement du commerce électronique. Dans un livre blanc qui vient d’être publié, l’éditeur américain de solutions d’authentification fait le point sur cette technique frauduleuse. La manipulation consiste à réorienter un internaute vers des pages Web imitant un site institutionnel de confiance afin de détourner ses données confidentielles. Ce phénomène a d’abord affecté les Etats-Unis mais il se déplace maintenant en Europe, avec des premiers cas signalés en France et en Allemagne.

L’exemple le plus couramment cité est celui de la banque américaine Citibank. Ses clients ont reçu un e-mail, censé être émis par le service commercial de l’établissement, les invitant à entrer de nouveau leurs coordonnées bancaires sur un site dont l’adresse Web était indiquée dans le courriel. Bien entendu, l’e-mail ne provenait pas de Citibank et l’adresse Web était celle d’un site imitant celui de la banque. « Une technique sophistiquée, habile et vraiment diabolique », souligne ActivCard.

Deux millions d’utilisateurs piégés

Pour élaborer son livre blanc, ActivCard a utilisé différentes sources d’information. Selon les données fournies par l’Anti-Phishing Working Group, les principales cibles du phishing sont les groupes bancaires et leurs déclinaisons en ligne. Rien que pour les établissements financiers américains, cette technique représenterait une perte de 1,2 milliard de dollars. Au cours des deux dernières années, deux millions d’utilisateurs de services en ligne financiers ont été lésés, selon une étude de Gartner Group.

En mars 2004, le ministère de la Justice américain a recensé trois principaux risques dans une synthèse sur le phishing : des détournements de fonds (via des virements effectués à l’insu du titulaire du compte bancaire), des vols d’identités (qui permettent de se faire passer pour la personne lors d’achats en ligne) et enfin le risque de voir son ordinateur infecté par des virus ou des spywares.

Entre mesures de prévention et solutions techniques

Pour Activcard, il est temps que les groupes bancaires prennent conscience des dangers du phishing. Le prestataire américain estime qu’ils devraient améliorer la sécurité des transactions en ligne en renforçant les mesures d’authentification du côté du serveur (la banque) mais aussi du côté du client. ActivCard se montre très insistant sur ce point, non sans arrière-pensée commerciale…

En effet, le groupe high-tech mondial, qui dispose d’une branche française installée dans les Hauts-de-Seine, propose deux solutions pour contrer le phishing. La première est basée sur un « token » (ou jeton) d’authentification, un accessoire technologique que l’on distribue à tous les clients d’une banque en ligne et qui permet de générer un code secret distinct pour chaque transaction. La deuxième solution entre davantage dans le coeur du système d’information des groupes bancaires pour faire intervenir un tiers de confiance. Il s’agit d’un système d’authentification autour d’une infrastructure de clés publiques (PKI pour Public Key Infrastructure), qui sert de certificats numériques confirmant l’identité des parties dans une transaction électronique.

Plus globalement, une troisième alternative apparaît avec le déploiement de cartes bancaires au standard EMV (Europay-Mastercard-Visa), apparu en France il y a neuf mois. Ce standard international pour les terminaux de paiement et les cartes à puce, qui met l’accent sur la sécurité accrue pour les porteurs, les commerçants et les banques, serait susceptible de contribuer à la lutte contre le phishing.

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago