« Il faut déjouer le business case des cybercriminels »

L'article ici en-dessous en un résumé; pour l'article complet cliquez ici.

Internet et la révolution numérique ont totalement transformé le mode de fonctionnement des banques et les moyens de paiement des consommateurs. Cette évolution jette en outre un nouvel éclairage sur la sécurisation de nos systèmes de paiement. Comment garantir chaque jour la sécurité des paiements et repousser les cyberfraudeurs ? Tim Hermans (Banque nationale de Belgique), Niek De Taeye (B-Hive) et Kristof Browaeys (Internet banking Security Febelfin) donnent leur vision de la question.

Les fraudes à la banque en ligne se multiplient à nouveau. Comment cela se fait-il ?

Kristof Browaeys (KB): “Als je het aantal fraudegevallen via internet- en mobiel bankieren over een langere periode bekijkt, zie je een cyclisch patroon met pieken en dalen. Verdwijnen doen de fraudegevallen echter nooit helemaal. Phishing is een business op zich geworden. Vroeger stuurden fraudebendes mailtjes in schabouwelijk Nederlands en probeerden ze mensen naar slecht nagemaakte websites te lokken. Dat is voorbij. De daders kopen nu een kant-en-klare ‘phishingkit’ op de zwarte markt. Enige technische knowhow is niet meer nodig. Je behoeft enkel e-mailadressen en een valse website. De kwaliteit van die valse e-mails en sites is er sterk op vooruitgegaan. We zien ook dat de bendes hun actieterrein hebben verbreed. Ook klanten van kleinere banken worden nu geviseerd.”

Tim Hermans (TH): “De eigen systemen van banken zelf zijn nu zo goed beveiligd dat daders op zoek gaan naar de zwakste schakel. Jammer genoeg is dat vaak ongewild de klant zelf. De digitale vaardigheid van de consument speelt daarbij zeker een rol. Klanten komen steeds minder in contact met hun bank en vertrouwen veel meer op internet. Dat alles vergroot de kans op een succesvolle phishing."

Hoe kan die digitale vaardigheid aangescherpt worden?

Niek De Taeye (NDT) : « Le consommateur sait qu’il doit être prudent, mais certaines procédures sont si conviviales qu’il est vite « trop tard ». On privilégie souvent la rapidité et la convivialité, par rapport à la sécurité. De plus, le consommateur part encore souvent du principe qu’il existe toujours un filet de sécurité en cas de problème. Or, les banques et le législateur ne peuvent parer à tout. La sensibilisation passe par la répétition. Dix, cent fois, si nécessaire. »

KB : « Si, dans la vie réelle, on vous disait : « Donnez-nous les clés de votre maison, car l’Europe impose désormais de vérifier les serrures », vous sauriez que ce n’est pas normal. Mais sur internet, on ne considère pas les codes du logiciel de banque en ligne comme aussi confidentiels que ceux de sa carte bancaire. »

La directive révisée concernant les services de paiement (Payment Service Directive II) entrera en vigueur l’année prochaine. Des prestataires de services de paiement tiers seront habilités à effectuer des transactions de paiement en ligne. Est-ce conciliable avec la recommandation de ne pas dévoiler ses codes ?

TH : « Des prestataires tiers pourront effectivement initier des paiements - à la demande du client - via les comptes à vue de l’intéressé. Mais pas question pour autant de transmettre ses codes ! Sur les centaines de pages que comporte le projet de PSDII, une bonne part concerne la cybersécurité. Avec des garanties concernant la sécurité, la fiabilité des systèmes... »

KB : « Retenez surtout que si vous autorisez une personne à utiliser vos codes, cela doit être de votre propre initiative. Si quelqu’un vous demande d’introduire vos codes, pour l’une ou l’autre raison, vous ne le faites pas de votre propre initiative, donc méfiance ! Ces codes donnent accès à votre argent. Ils ne sont normalement jamais demandés par téléphone ni par courriel. »

NDT : « Il risque de se produire la même chose avec la PSDII qu’avec les big data et l’identité : dès lors que diverses identités (courriel, Facebook…) sont interconnectées, il devient possible de quasiment tout savoir sur un client. Si les systèmes de paiement subissent le même sort, cela permettra de lancer des actions d’hameçonnage très spécifiques. Imaginez que l’on puisse découvrir via les données de Google que quelqu’un rembourse un emprunt… l’hameçonnage peut alors être nettement mieux ciblé. »

Nous avons déjà évoqué la convivialité. Elle importe incontestablement dans les applications pour smartphones. Comment garantir l’équilibre entre convivialité et sécurité ?

TH : « Il y a non seulement la convivialité et la sécurité, mais aussi le facteur de « coût ». On peut les combiner de diverses manières. Coût et sécurité élevés, mais faible convivialité. Ou grande convivialité et coût élevé, mais faible sécurité... Le défi consistera à trouver la combinaison optimale de ces trois facteurs, car le smartphone constituera demain l’instrument de paiement par excellence. On le voit déjà en Chine, un marché qui a sauté une génération en matière d’instruments de paiement. On n’y trouve pratiquement pas de cartes, tout le monde paie de façon mobile. En Europe, l’initiative des paiements instantanés permet déjà de transférer de l’argent en quelques secondes. »

KB : « Jusqu’à présent, la banque mobile a brillamment réussi à trouver un équilibre entre ces trois facteurs. Bon nombre de consommateurs pensent que la sécurisation se limite au code qu’ils doivent introduire pour se connecter ou signer leurs opérations, mais cette sécurisation suppose une foule de mesures visibles et invisibles. Les chiffres le confirment : lorsque l’on détecte une fraude à la banque mobile, elle n’est pas due à l’application même, mais au fait que les fraudeurs sont parvenus à obtenir les codes des utilisateurs. »

NDT : « Deux choses me paraissent importantes. Tout d’abord, l’identification de l’utilisateur. Plus celle-ci est facile et sûre, moins il y a de fraudes. En cela, les smartphones sont plus performants que les autres canaux, surtout si l’on associe les données biométriques. Mais la convivialité et l’expérience de l’utilisateur doivent conserver une place prépondérante, sinon vous risquez de perdre ce dernier. Ensuite viennent l’intelligence artificielle et l’apprentissage automatique pour suivre et bloquer les transactions. Nous pourrons d’autant mieux assurer un feedback au client que le délai sera court. S’il valide une opération douteuse, nous pourrons le mettre en garde. »

Quelle approche adopter pour éloigner les criminels ?

KB : « La rapidité d’intervention constitue l’un des facteurs clés pour stopper une attaque par hameçonnage. Cela a un effet dissuasif. Si les criminels sentent que cela devient trop risqué, ils abandonnent. Il faut déjouer leur business case. Mais sans se faire d’illusions. Deux mois plus tard, ils reviendront et lanceront une nouvelle attaque. Ils jouent en quelque sorte au chat et à la souris. »

Les différents acteurs de terrain se concertent-ils suffisamment en Belgique ?

TH : « Il y a une bonne coordination, surtout pour l’infrastructure critique. Les mécanismes en place sont régulièrement testés et améliorés. Il existe également des initiatives spécifiques, tel le Financial Sector Cyber Council (FSCC) fondé en Belgique et qui coopère étroitement avec le Centre pour la Cybersécurité (CCB). Le FSCC vise à accroître la sensibilisation, à soutenir les projets-cadres de cybersécurité et de cyberrésilience et à lever les obstacles juridiques ou réglementaires qui freinent les bonnes initiatives. Espérons que cela débouche sur une coopération encore meilleure entre les infrastructures financières, par exemple par des tests d’intrusion sectoriels (red teams tests). »

Comment les banques réagissent-elles à ces « tests d’intrusion » ou piratage éthique ?

TH : « Dans le secteur financier, la pratique est très courante au sein des banques individuelles, mais je trouve qu’il serait intéressant de mettre en place des initiatives pour l’ensemble du secteur. Si toutes les institutions étaient soumises à des scénarios d’attaques plus sophistiqués, imaginez à quel point cela pourrait nous consolider au niveau sectoriel ! »

KB : « Au sein de Febelfin, nous partageons activement les informations et les bonnes pratiques relatives aux cyberattaques. Comme le dit l’adage, there is no competition in cybersecurity. Car vous pouvez être certains que ce que connaît aujourd’hui la banque X, la banque Y le connaîtra demain. Et les leçons tirées par la première seront souvent valables pour la seconde. »

Les pirates éthiques qui signalent les failles dans les systèmes IT ne sont pas toujours à l’abri des poursuites. Qu’en pensez-vous ?

KB : « Les banques belges font déjà appel depuis longtemps à des pirates éthiques. Nous ne travaillons toutefois qu’avec des consultants réputés que nous commanditons. Nous ne collaborons donc pas avec des collectifs de pirates et nous ne proposons pas un bouton à cocher sur notre site web permettant de nous pirater tranquillement tout en bénéficiant d’une protection juridique. Cela reste une zone grise. Cela dit, les consultants qui pratiquent le piratage éthique coûtent cher. La disparition de cette zone grise mettrait le piratage éthique également à la portée des petites entreprises. »

NDT : « B-Hive collabore beaucoup avec de petites start-ups fintech et la première chose que nous leur disons est de s’assurer une cybersécurité parfaite. Surtout si elles ambitionnent de faire concurrence ou d’agir comme dérégulateurs pour les banques. On les voit souvent se développer en toute tranquillité durant un bon moment, jusqu’à atteindre une masse critique susceptible d’intéresser les pirates. Si leur sécurité laisse à désirer, ces derniers n’en feront qu’une bouchée. Une scale-up n’y survit pas. »

Quelle valeur ajoutée B-Hive veut-il apporter en cybersécurité ?

NDT : « B-Hive prône une approche et des solutions centralisées. Pourquoi ne pas esquisser le paysage ensemble et décider des problèmes à résoudre ? L’époque où il suffisait d’installer un antivirus pour se protéger est révolue. La technologie progresse vite. On observe actuellement que les banques se dotent d’une combinaison de grands systèmes capables de parer à la majorité des attaques. Elles les complètent par de petites solutions très pointues pour combler toutes les lacunes qui restent. Nous pourrions y travailler en collaboration, à l’échelle internationale, même. »

L’hameçonnage (phishing) ...

  • Les fraudeurs tentent par cette méthode de dérober votre code pin ou les codes avec lesquels vous vous connectez à la banque en ligne.
  • Ils vont parfois jusqu’à vous demander d’envoyer votre carte bancaire.
  • En général, vous recevez un courriel contenant un lien vers un faux site web, qui reproduit celui de votre banque, par exemple.
  • Retenez que votre banque ne vous demandera jamais de lui dévoiler vos codes !

Que pouvons-nous apprendre de l’étranger ?

TH : « Les tests d’intrusion sont quasiment devenus la norme dans toute institution financière. Ce qui l’est nettement moins, c’est l’élaboration d’une approche uniforme à travers tous les secteurs, avec des scénarios très sophistiqués et l’accès aux connaissances les plus actuelles. Il y aurait beaucoup à dire à ce sujet. Imaginez que des pirates s’en prennent au système de messages financiers ou aux systèmes mêmes des banques, quel serait l’impact de cette attaque sur les différents participants ? »

NDT : « Israël a nommé un cyber security director qui rend directement compte au Premier ministre et est chargé de toute la cybersécurité de bout en bout pour tout le pays, tous secteurs confondus. Il surveille tant les valeurs sûres que les technologies émergentes. C’est pourquoi il y est si intéressant, pour les experts en cybersécurité des milieux militaires, de se tourner vers le marché privé. Bon nombre d’entreprises actives dans la sécurité ont été fondées par d’anciens membres du Mossad. Le même raisonnement prévaut aux USA. En Belgique, c’est plus difficile, entre autres parce que nous ne constituons pas une grande puissance militaire et ne sommes pas vraiment impliqués dans un conflit. Mais une approche nationale de la cybersécurité présenterait énormément d’avantages. »

Le Centre pour la Cybersécurité Belgique rend également des comptes au Premier Ministre.

TH : « Effectivement, et cela prouve, selon moi, que l’on a bien conscience du problème et de sa gravité. »

Une dernière réflexion ?

TH : « Nous avons beaucoup évoqué les dangers et les risques de la numérisation, mais elle représente surtout une grande opportunité. Les connexions entre les systèmes, l’accélération des paiements, la baisse des coûts… Autant de points positifs qui ne sont possibles que par la numérisation. Il y a plus d’avantages que d’inconvénients. »