Quand la télé se lance dans l’audit sécurité !

La Télévision Suisse (Schweizer Fernsehen) s’est récemment penchée, dans son émission Kassenstrurz , sur la sécurité des systèmes e-banking proposés par plusieurs banques suisses. Ce test comparatif, dans la présentation des résultats obtenus, est particulièrement représentatif de la confusion qui règne dans les esprits (y compris parmi les décideurs du monde professionnel) par rapport au rôle et à la portée des systèmes d’authentification forte.

Durant ce test, une seule et unique technique est mise en œuvre pour mettre à l’épreuve les systèmes e-banking . Dans un premier temps, les chercheurs installent un cheval de Troie sur un poste de travail. Ils se connectent ensuite aux différents systèmes e-banking, simulant ainsi le comportement d’une innocente victime potentielle désireuse d’administrer ses finances. Une fois la victime connectée, le cheval de Troie peut initier aisément une transaction frauduleuse, puisqu’elle semble provenir, aux yeux du serveur e-banking, d’un poste préalablement authentifié. A plusieurs reprises dans le cadre du test, l’opération échoue cependant. Toujours pour la même raison, simplement car certains établissements proposent une option de sécurité sous la forme d’une validation par l’utilisateur de la transaction: « Souhaitez-vous vraiment effectuer un transfert de x $ vers les compte y ? ». A ce stade, l’utilisateur se rend compte (généralement) que quelque chose d’anormal se trame et annule la transaction.

Ce qui porte à confusion dans cette étude, c’est le tableau de présentation des résultats. Sous l’intitulé «Quels systèmes E-banking sont sûrs ? » (Welche E-Banking Système sind sicher ?), figure une photo des systèmes d’authentification forte proposés par les différentes institutions. En dessous, la ligne « Sécurité » (Sicherheit) comporte la mention « hacké » (gehackt) ou « non hacké » (nicht gehackt) selon que les transactions ont été validées ou non.

Ce document peut donc laisser penser que ce sont les systèmes d’authentification forte qui sont comparés ici et que la calculette UBS (Access Key) est plus sûre que la solution SMS de Raiffeisen par exemple. Or l’attaque n’a en rien visé les systèmes d’authentification forte ! Encore une fois, elle consiste à prendre le contrôle d’un poste de travail via un cheval de Troie, d’attendre patiemment que l’utilisateur légitime du compte se soit authentifié, indépendamment du mécanisme utilisé, pour ensuite injecter sa session en cours. La mesure de sécurité qui fait la différence entre les bons et les mauvais élèves dans ce test, c’est l’existence ou non d’une fonctionnalité de validation de transaction. Rien à voir, là encore, avec la nature du mécanisme d’authentification elle-même !

Le pire dans cette histoire est que la présentation trompeuse des résultats n’est probablement pas le fait d’une quelconque malhonnêteté intellectuelle, mais bel et bien d’une mauvaise appréhension des enjeux sécuritaires liés à une plateforme transactionnelle de la part des journalistes.

Quelques éclaircissements sont donc plus que bienvenus !

Penser que la sécurité d’un système e-banking dépend en priorité du type de mécanisme d’authentification forte choisi, c’est commettre une erreur. La sécurité se gère en traitant les risques (1) de façon homogène et (2) les plus importants de façon prioritaire. Dans le cadre d’une plateforme e-banking protégée par authentification forte, les attaques les plus aisées (et par voie directe de conséquence le plus souvent mises en œuvre) sont les suivantes:

• Attaque par ingénierie sociale visant les utilisateurs de la plateforme. Les formes classiques incluent la soumission d’un mail contenant un malware en pièce jointe (un exemple récent ayant frappé la Suisse est celui du faux mail UPS (#1) , d’ailleurs mentionné dans le reportage de la SF), ou encore un lien de phishing. Dans ce second cas, plusieurs variantes sont envisageables : soit le site pirate présente une copie conforme du site original, et lorsque l’utilisateur leurré se connecte, on rejoue ses authentifiants à la volée sur le vrai site, soit le site tente d’exploiter une vulnérabilité dans le navigateur de la victime pour installer silencieusement un malware (attaque dite de drive by download).

• Exploitation d’une faille affectant la plateforme elle-même.

Un système e-banking sûr implique donc d’abord des utilisateurs sensibilisés aux risques d’attaque, des postes clients sûrs (#2) et une plateforme e-banking sûre côté serveur. Pour réduire le risque de détournement frauduleux, la plateforme doit également implémenter la validation de transaction. Le choix du mécanisme d’authentification forte n’influence finalement pas le niveau de risque de façon conséquente (#3).

Pour être plus précis, le rôle de l’authentification forte est de réduire le risque d’usurpation d’identité par vol, divulgation ou prédiction des authentifiants classiques (login + mot de passe). En d’autres termes, l’authentification forte permet de renforcer le contrôle d’accès. Elle peut être également utilisée comme élément d’un système visant à garantir l'authenticité.

Typiquement, lorsqu’une transaction e-banking est soumise, la banque demande à son client de valider la transaction en se réauthentifiant de façon forte. Mais là encore, l'authenticité est envisageable uniquement à la condition que le poste client ne soit pas infecté par un malware capable de modifier à la volée les échanges client-serveur par une attaque de type Man-in-the-browser. Une façon de contourner ce mécanisme de sécurité est généralement d’intercepter le code d’authentification fourni par l’utilisateur en lui indiquant que sa transaction n’est pas valable. L’attaquant dispose alors d’un code valide pour confirmer sa transaction frauduleuse.

Au final, le reportage de Kassensturz laisse les spécialistes sur leur faim. Non seulement, il induit les téléspectateurs en erreur en leur faisant croire que le mécanisme d’authentification forte joue un rôle dans les résultats des tests pratiqués alors qu’il n’en est rien, mais en plus il n’indique pas les limites de ce test qui consiste à évaluer la résistance des divers systèmes e-banking face à un cheval de Troie peu sophistiqué. Quels auraient été les résultats si le malware avait été assez évolué pour prendre en compte les fonctionnalités de validation de transaction ?

Ce dernier scénario de menace représente, depuis l’avènement des chevaux de Troie bancaires du type Zeus et consorts, un risque prévalent et mériterait d’être investigué plus en détails.


Un billet de Stéphane Adamiste / Information Security Consultant - ELCA


#1 http://www.melani.admin.ch/dienstleistungen/archiv/01125/index.html?lang=fr

#2 Notons que dans le cadre de l’étude en question, le poste de travail est infecté dès le départ.

#3 Cette affirmation est à reconsidérer lorsqu’il est avéré que la technologie est faillible, comme dans le cas récent de RSA Security. Voir : http://www.journaldunet.com/solutions/securite/piratage-tokens-rsa-securid-0611.shtml