[ad_1]
Depuis la mise en place des dispositifs d’«authentification forte» pour sécuriser les paiements en ligne, le risque de fraude sur Internet a chuté à un niveau historiquement bas. Malheureusement, les fraudeurs n’ont visiblement pas dit leur dernier mot.
Face à l’authentification forte, trop difficile à déjouer, les fraudeurs n’essaient plus de s’attaquer à la technologie, mais directement à leur victime, en lançant des attaques par manipulation humaine. Leur but : amener un individu (à son insu) à valider des opérations frauduleuses.
En clair, l’authentification forte ne constitue pas un rempart absolu contre la fraude : de nouveaux types de fraude sont en effet apparus pour contourner l’authentification forte en manipulant le porteur de la carte…
«La deuxième directive européenne sur les services de paiement (DSP2), entrée en application en 2019, dispose que les transactions par carte sur internet soient en principe soumises à une authentification forte du payeur. Celle-ci consiste à vérifier la légitimité de l’opération en vérifiant, par l’intermédiaire d’un protocole appelé “3-D Secure”, deux éléments que seul le payeur peut mobiliser : il s’agit d’un élément de connaissance (mot de passe, code…), d’un élément de possession (téléphone, clé USB, carte…) et/ou d’un élément biométrique (empreinte digitale, biométrie faciale…)» explique, dans son nouveau guide, le ministère français de l’Économie, des finances et de la souveraineté industrielle et numérique.
Que ce soit au Maroc ou ailleurs, les principales solutions d’authentification forte sont l’application mobile bancaire via laquelle le client renseigne un code spécifique pour ses achats en ligne. L’e-consommateur peut aussi présenter son empreinte biométrique, ou bien il reçoit un mot de passe à usage unique par SMS complété par un code spécifique pour les achats en ligne. En Europe, le client peut aussi passer par un appareil physique mis à disposition par la banque (générateur de codes doté d’un clavier de saisie, clef USB ou lecteur de QR-Code).
Certaines transactions par carte sont toutefois éligibles à des exemptions, comme les transactions de faible montant ou avec un faible niveau de risque, car conforme aux habitudes de paiement. Dans tous les cas, la banque du payeur reste en capacité de décider ou non de demander une authentification forte.
Attention au contournement de l’authentification forte !
Les fraudeurs vont d’abord collecter des données sur leur cible et se renseigner sur elle. Par des attaques informatiques (phishing, malware, dark web), ils vont notamment récupérer les coordonnées bancaires et les données de sa carte bancaire (numéro, nom du titulaire, date d’expiration, code à 3 chiffres sur le dos de la carte).
Le fraudeur va, ensuite, utiliser ses données bancaires puis au même moment contacter sa victime, généralement par téléphone. Pour l’installer dans un environnement de confiance, le fraudeur va alors usurper l’identité de sa banque via la technique du spoofing, en disant être conseiller bancaire ou travailler dans le service anti-fraude. Il prétend alors devoir réaliser un test de sécurité ou vérifier certains éléments pour bloquer les tentatives de fraude en cours.
La victime est enfin invitée à valider les opérations via ses moyens d’authentification forte. Il peut s’agir d’un paiement par carte sur internet, d’une opération de virement, du rajout d’un bénéficiaire de confiance, d’une modification de plafond sur la carte, de l’enrôlement dans une solution de paiement mobile ou encore du transfert du moyen d’authentification forte.
Via ce type d’attaque, le fraudeur amène en fait sa victime à valider à son insu des opérations frauduleuses en passant outre les différentes alertes adressées par la banque.
***********************************************************
Vous faites l’objet d’une attaque : voici les gestes à ne pas faire
1. Ne répondez pas aux sollicitations des fraudeurs : utilisez toujours un canal sécurisé et connu (favori, moteur de recherche) pour vous connecter à votre banque ou vos fournisseurs de services ; ne cliquez jamais sur un lien reçu par mail ou SMS.
2. Refusez toute communication non sollicitée qui vous serait proposée en direct (téléphone, chat…) et recontactez votre banque par votre canal habituel : votre banque ne vous demandera jamais de valider à distance une opération à des fins de test ou en réponse à une fraude ; si elle suspecte une opération de fraude, votre banque est en capacité de la bloquer sans avoir à vous demander votre intervention.
3. Utilisez à bon escient vos outils et données d’authentification et protégez-les : vos outils et données d’authentification sont aussi sensibles que le code de votre carte bancaire
4. N’utilisez jamais vos outils et données d’authentification pour des opérations dont vous n’êtes pas à l’origine et ne les communiquez jamais à un tiers.
*****************************************************
Vous être victime, que faire ?
Si vous recevez une demande d’authentification non sollicitée sur votre téléphone, n’y donnez suite que si vous êtes à l’origine de l’opération. Dans le cas contraire, contactez immédiatement votre banque, car cela peut indiquer que vos coordonnées bancaires ont été piratées. Et si vous êtes contacté par téléphone pour authentifier une transaction, cessez immédiatement tout échange avec l’interlocuteur et en cas de doute rappelez votre banque par votre canal habituel. De même, ne donnez surtout pas suite aux invitations à valider les opérations. Et si vous avez déjà authentifié les opérations frauduleuses ? Contactez immédiatement votre banque pour, selon les situations, mettre en opposition votre carte et/ou renouveler vos données et outils d’authentification.