Vous avez s\u00fbrement d\u00e9j\u00e0 entendu parler de cet \u00e9trange ph\u00e9nom\u00e8ne\u00a0: les accidents d\u2019avion attirent davantage l\u2019attention des m\u00e9dias que les accidents de voiture alors que le nombre d\u2019incidents annuels en avion est bien moindre. Ce m\u00eame principe s\u2019applique \u00e0 d\u2019autres aspects de la vie, y compris la cybers\u00e9curit\u00e9 et la cybercriminalit\u00e9.<\/p>\n
Lorsque nous avons d\u00e9couvert Carbanak<\/a> en 2014, un groupe de cybercriminels qui a vol\u00e9 plus d\u2019un milliard de dollars, les m\u00e9dias \u00e9taient subjugu\u00e9s. Nous ne devrions pourtant pas oublier que la fraude \u00e0 la carte bancaire est plus courante, fait des victimes tous les jours, et engendre des pertes financi\u00e8res beaucoup plus importantes. Par exemple, le Nilson Report estime qu\u2019en 2018 la fraude \u00e0 la carte bancaire a provoqu\u00e9 des pertes qui s\u2019\u00e9l\u00e8vent \u00e0 24 milliards<\/a>, et qu\u2019elle devrait fortement augmenter cette ann\u00e9e. Le carding<\/em>, nom technique utilis\u00e9 par les cybercriminels et les sp\u00e9cialistes en s\u00e9curit\u00e9 pour d\u00e9signer la fraude \u00e0 la carte bancaire, n\u2019est pas mort. Au contraire, il est en pleine croissance.<\/p>\n Cela peut sembler surprenant puisque de plus en plus de banques mettent en place des syst\u00e8mes de s\u00e9curit\u00e9 stricts, et des solutions intelligentes de pr\u00e9vention de la fraude qui reposent sur l\u2019apprentissage automatique. Si ce n\u2019est pas le cas, elles prot\u00e8gent les fonds des cartes pour qu\u2019ils soient impossibles de les voler. Ces mesures devraient, en th\u00e9orie, au moins emp\u00eacher les escrocs d\u00e9butants de voler l\u2019argent des cartes bancaires, mais les statistiques montrent le contraire. Si quelqu\u2019un demande sur un forum du darknet \u00ab\u00a0Quelle est la premi\u00e8re chose \u00e0 faire pour devenir un cybercriminel ?\u00a0\u00bb, la r\u00e9ponse est \u00ab\u00a0carding<\/em>\u00ab\u00a0.<\/p>\n Heureusement, les banques et plateformes de paiement ont pris certaines mesures de s\u00e9curit\u00e9 qui rendent la fraude \u00e0 la carte bancaire de plus en plus difficile. H\u00e9las les syst\u00e8mes antifraudes ne fonctionnent pas aussi bien dans la r\u00e9alit\u00e9. De plus, les personnes qui veulent essayer de voler l\u2019argent des cartes de cr\u00e9dit d\u2019autres personnes disposent de services sp\u00e9ciaux, d\u2019outils, et de marketplaces de ces outils et services.<\/p>\n Sergey Lozhkin, chercheur de Kaspersky Lab, a trouv\u00e9 un march\u00e9 sur le darknet<\/a>, appel\u00e9 Genesis, qui vend les masques num\u00e9riques des utilisateurs. Il a pr\u00e9sent\u00e9 ses d\u00e9couvertes lors du Security Analyst Summit 2019<\/a>. Un masque num\u00e9rique se compose de l\u2019empreinte num\u00e9rique de l\u2019utilisateur (historique du navigateur, syst\u00e8me d\u2019exploitation, informations sur le navigateur, plug-ins install\u00e9s, etc.), et des informations relatives au comportement de l\u2019utilisateur\u00a0: ce qu\u2019il fait en ligne et comment.<\/p>\n Pourquoi les escrocs vendraient-ils les masques ? Quel est le lien avec le \u00ab\u00a0carding<\/em>\u00a0\u00bb\u00a0? Les syst\u00e8mes antifraudes se servent des masques num\u00e9riques pour v\u00e9rifier l\u2019identit\u00e9 de l\u2019utilisateur. Si le syst\u00e8me antifraude re\u00e7oit un masque num\u00e9rique qui correspond \u00e0 celui qu\u2019il a obtenu auparavant pour le m\u00eame utilisateur, alors il va consid\u00e9rer que la transaction est l\u00e9gitime. De nombreuses banques consid\u00e8rent que cette mesure est suffisante, et ne vont pas demander le code 3D Secure envoy\u00e9 par SMS, ou la notification qui permet \u00e0 l\u2019utilisateur de confirmer la transaction.<\/p>\n Par cons\u00e9quent, si un criminel arrive, de quelque fa\u00e7on que ce soit, \u00e0 voler votre masque num\u00e9rique et vos identifiants de services bancaires en ligne, le syst\u00e8me antifraude va penser que vous essayez de vous connecter et ne vas pas donner l\u2019alerte. Le criminel peut alors vider votre compte bancaire en toute discr\u00e9tion.<\/p>\n C\u2019est pourquoi certains malfaiteurs obtiennent les donn\u00e9es des appareils des utilisateurs et les mettent en vente sur Genesis. D\u2019autres ach\u00e8tent ces informations, qui co\u00fbtent entre 5 et 200 dollars selon la quantit\u00e9 de donn\u00e9es et d\u2019identifiants inclus, et les utilisent pour se faire passer pour le propri\u00e9taire du masque num\u00e9rique.<\/p>\n Pour ce faire, ils utilisent un plug-in de navigateur gratuit. D\u00e9velopp\u00e9 par les cr\u00e9ateurs de Genesis, et connu comme Genesis Security, ce plug-in leur permet d\u2019utiliser le masque num\u00e9rique pour recr\u00e9er l\u2019identit\u00e9 virtuelle et l\u00e9gitime de l\u2019utilisateur, et ainsi tromper les syst\u00e8mes antifraudes. Pour faire simple, ce plug-in modifie les param\u00e8tres que le syst\u00e8me antifraude prend en compte pour qu\u2019ils correspondent \u00e0 ceux de l\u2019appareil de la victime et imitent leur comportement.<\/p>\n Comment les cybercriminels qui se cachent derri\u00e8re Genesis obtiennent les donn\u00e9es qu\u2019ils vendent\u00a0? La r\u00e9ponse est simple mais assez vague\u00a0: gr\u00e2ce \u00e0 diverses esp\u00e8ces de malware.<\/p>\n Certains malwares n\u2019essaient pas de chiffrer vos donn\u00e9es pour demander une ran\u00e7on, ou de voler votre argent de suite apr\u00e8s avoir acc\u00e9d\u00e9 \u00e0 votre appareil. Quelques esp\u00e8ces s\u2019installent tranquillement, collectent toutes les donn\u00e9es auxquelles elles ont acc\u00e8s, et cr\u00e9ent des masques num\u00e9riques qui sont ensuite vendus sur Genesis.<\/p>\n\n Pour court-circuiter les syst\u00e8mes de pr\u00e9vention de la fraude, la technique utilis\u00e9e doit avant tout \u00eatre famili\u00e8re, ou para\u00eetre totalement nouvelle. Les cybercriminels connaissent toutes les options qui s\u2019offrent \u00e0 eux, m\u00eame cette seconde possibilit\u00e9, et il existe m\u00eame un service sur Internet qui r\u00e9alise cette action.<\/p>\n Lorsque nous disons totalement nouvelle<\/em> cela signifie qu\u2019il n\u2019y a aucune correspondance entre le masque num\u00e9rique utilis\u00e9 et tous les autres masques num\u00e9riques que le service conna\u00eet. En d\u2019autres termes, le fraudeur ne peut pas se connecter au service \u00e9quip\u00e9 d\u2019un syst\u00e8me de pr\u00e9vention de la fraude, m\u00eame s\u2019il installe un nouveau navigateur sur son ordinateur puisque certains param\u00e8tres seront les m\u00eames que ceux utilis\u00e9s par le masque num\u00e9rique pr\u00e9c\u00e9demment utilis\u00e9\u00a0: mat\u00e9riel informatique, r\u00e9solution de l\u2019\u00e9cran, et bien d\u2019autres.<\/p>\n Un service, qui s\u2019appelle Sphere, permet aux escrocs de cr\u00e9er une nouvelle identit\u00e9 num\u00e9rique et de personnaliser tous ces param\u00e8tres pour que le syst\u00e8me de pr\u00e9vention de la fraude la consid\u00e8re comme totalement nouvelle. Rien ne l\u2019emp\u00eache de faire confiance \u00e0 cette nouvelle personne.<\/p>\n Le probl\u00e8me est que, quelle que soit la sophistication du syst\u00e8me de pr\u00e9vention de la fraude, ces techniques fonctionnent puisque les algorithmes du syst\u00e8me de pr\u00e9vention de la fraude, qui d\u00e9termine si la personne peut acc\u00e9der aux fonds, utilisent exactement les m\u00eames donn\u00e9es que celles recueillies par les malfaiteurs.<\/p>\n Est-il possible de se prot\u00e9ger de cette fraude \u00e0 la carte bancaire perfectionn\u00e9e\u00a0?<\/p>\nEmpreinte num\u00e9rique : utiliser l\u2019identit\u00e9 d\u2019une autre personne pour utiliser sa carte<\/h2>\n
Obtenir les empreintes<\/h3>\n
Autres m\u00e9thodes utilis\u00e9es pour contourner la pr\u00e9vention de la fraude<\/h3>\n
Dites non \u00e0 votre double<\/h3>\n