Comment protéger les services bancaires en ligne grâce à une sécurité poussée pour les applications
Nous organisons régulièrement des émissions Web sur des sujets comme la transformation numérique, la prévention de la fraude, et les pratiques exemplaires en matière de sécurité mobile. Si vous avez manqué notre dernière émission Web, « Comment protéger les services bancaires en ligne grâce à une sécurité poussée pour les applications », vous en trouverez ci-dessous un résumé de 10 minutes. La présentation complète est disponible sur demande.
L’utilisation des services bancaires mobiles continue de grimper en flèche en raison de la pandémie de COVID-19. Cette tendance a également entraîné une hausse des cas de fraude bancaire mobile au cours de la dernière année. L’année 2020 a été le théâtre d’une augmentation spectaculaire du nombre de dossiers d’identité compromis, ainsi que d’une flambée des attaques de fraude mobile sophistiquées et de la hausse du nombre d’outils de cybercriminalité (« crime-as-a-service »).
Bien que la dernière année ait été une année record en termes de fraude financière, il est aussi important de noter que 91 % des 4,6 milliards d’utilisateurs actifs d’Internet dans le monde sont des utilisateurs d’Internet sur appareils mobilesi. Que ce soit dans les marchés émergents ou dans les pays développés, les technologies mobiles font partie des canaux bancaires les plus populaires, même par rapport aux services bancaires en ligne. Selon Forrester, « En Amérique du Nord et en Europe, environ la moitié des adultes qui ont accès à Internet indiquent qu’ils utilisent leur téléphone intelligent pour faire leurs activités bancaires au moins une fois par semaine; et dans le cas des adultes de l’Australie, de la Chine et de l’Inde, l’application mobile est le canal de services bancaires qu’ils préfèrent.ii »
Il est clair que le canal mobile est un point terminal crucial que les institutions financières doivent sécuriser. Pendant notre dernier webinaire, « Comment protéger les services bancaires en ligne grâce à une sécurité poussée pour les applications », mon collègue Greg Hancell et moi avons discuté des répercussions de l’augmentation des menaces mobiles et de la façon dont la sécurité avancée pour les applications protège les utilisateurs de téléphones cellulaires. Voici les faits saillants de ce webinaire.
Menaces courantes liées aux services bancaires mobiles
Les fournisseurs de services financiers et leurs clients ont été les victimes de la hausse constante de la cybercriminalité et du vol de dossiers d’identité au cours de la dernière année. À l’échelle internationale, quelque 37 millions de dossiers ont été compromisiii, soit environ 10 % de la population mondiale ayant accès à Internet. Cette violation a un impact direct sur les crimes financiers, et fournit aux criminels les matières brutes dont ils ont besoin pour commettre un nombre stupéfiant de fraudes, qu’il s’agisse de prises de contrôle de comptes ou de fraude liées à des identités synthétiques, pour ne nommer que ces exemples. Selon le rapport du Aite Group, « US Identity Theft: The Stark Reality », le vol d’identité a augmenté de 42 % depuis le début de la pandémie. L’accueil virtuel de nouveaux clients a conduit à une flambée des fraudes liées aux demandes, dans le cadre desquelles les criminels ouvrent de nouveaux comptes bancaires à distance au moyen d’une fausse identité ou d’une identité volée.
Ce qui aggrave encore plus la situation est la découverte, en décembre 2020, d’une d’une ferme d’émulateurs malveillants qui a démontré que les fraudeurs mobiles peuvent maintenant automatiser leurs processus, récoler facilement les identifiants d’appareils mobiles, faire des arnaques par mystification pour les emplacements GPS, et intercepter les messages SMS pour contourner l’authentification statique. En atteignant ainsi des niveaux jamais vus d’ampleur et de vitesse de fonctionnement, les cybercriminels ont émulé avec succès des utilisateurs qui ne se doutaient de rien et leurs appareils mobiles pour retirer des millions de dollars de comptes bancaires en ligne en un temps record.
Les permutations de cartes SIM, qui combinent des aspects du vol d’identité à des composantes de prise de contrôle de comptes, ont aussi connu une résurgence. Dans ce contexte où les paiements mobiles deviennent de plus en plus populaires, l’utilisation des services mobiles bancaires a ouvert la voie à plus d’attaques par permutation de cartes SIM. Dans ce type d’attaque, le fraudeur utilise les renseignements personnels volés d’une victime pour demander à un fournisseur de services mobiles d’activer le numéro de téléphone de la victime sur une nouvelle carte SIM. Les criminels utilisent alors les renseignements provenant des SMS ou de mots de passe uniques vocaux pour accéder aux comptes bancaires de la victime et y voler des fonds. De nombreuses victimes de fraudes par permutation de carte SIM ont vu leurs comptes en ligne associés à leur numéro de téléphone être pris en contrôle par un fraudeur. Les comptes de médias sociaux comme Facebook ou LinkedIn en sont un exemple, puisqu’ils permettent d’accéder à des renseignements sensibles comme la date de naissance, que les cybercriminels peuvent ensuite utiliser pour perpétrer leur attaque par permutation de carte SIM (ils peuvent aussi faire appel aux données provenant de comptes de réseaux sociaux pour faciliter une prise de contrôle classique du compte bancaire et un vol d’identité). Les fuites de données récentes de Facebook et Linkedin en sont des exemples flagrants.
L’une des stratégies les plus anciennes — et, malgré tout, les plus efficaces — est l’hameçonnage. Après tant d’années, certains pensent que personne ne peut réellement tomber dans le panneau. Et pourtant, à maintes reprises, en faisant des téléphones ou en envoyant des courriels savamment rédigés, les fraudeurs trompent leurs victimes et les convainquent de fournir leurs identifiants. L’année 2020 n’a pas fait exception. En fait, la COVID-19 a créé encore plus de possibilités d’hameçonnage par téléphone, courriel et messagerie texte en 2020 qu’en 2019, les fraudeurs tirant profit de l’attention plus poussée que les gens accordaient à la pandémie.
Les attaques d’hameçonnage par messagerie texte sont également omniprésentes en raison de l’utilisation accrue d’appareils mobiles. Ces attaques ressemblent habituellement à des demandes d’authentification bancaire envoyées par SMS ou à un message qui alerte l’utilisateur qu’il y a eu des activités suspectes dans son compte. Le problème, c’est que ces messages peuvent sembler légitimes pour les utilisateurs qui ne se méfient pas, mais comprennent des liens qui téléchargent un maliciel conçu pour voler des renseignements présents dans les téléphones intelligents.
Stratégies de détection et de prévention de la fraude mobile
Dans un tel environnement, que peuvent faire les institutions financières pour protéger leurs clients?
- Les identifiants statiques (nom d’utilisateur/mot de passe) ne devraient jamais être utilisés à des fins d’authentification. Ils ne devraient pas être utilisés non plus pour l’enregistrement d’un appareil, la prestation ou l’activation d’un jeton d’authentification, la connexion, l’autorisation d’une transaction, la création d’un bénéficiaire ou d’un preneur, ou pour tout autre processus qui nécessite une authentification. En modernisant leur cadre d’authentification, les institutions financières peuvent garder une longueur d’avance sur les cyberattaques.
- Utiliser une protection d’exécution pour sécuriser le code source de l’application mobile proprement dite. Cette stratégie fait appel à une protection de l’application à partir de « l’intérieur » de l’application. On appelle cette technologie une « protection d’exécution ». Les fraudeurs cherchent habituellement des possibilités leur permettant d’attaquer sur « deux côtés » : le côté du client et l’arrière-guichet de la banque (aussi appelé le « côté serveur »). Les banques ont beaucoup plus de contrôle sur l’arrière-guichet et peuvent s’assurer plus efficacement que leurs infrastructures répondent aux normes de sécurité. Cependant, les applications bancaires mobiles sont installées sur les appareils des clients, un environnement sur lequel les banques n’ont pas de contrôle. Et malgré les efforts que les banques déploient pour sécuriser leur plateforme, les utilisateurs deviennent le maillon faible. Après tout, certains utilisateurs prennent part à des activités qui présentent des risques, notamment :
- Débrider ou « rooter » leur appareil pour pouvoir télécharger des applications gratuites (et ne pas toujours télécharger les applications à partir des magasins officiels d’applications)
- Se connecter à des points publics d’accès sans fil ou des réseaux publics, quel que soit leur degré de fiabilité
- Remettre à plus tard les mises à jour critiques de sécurité de leur système d’exploitation
- Mettre en place une stratégie de cybersécurité multicouche. Il existe des couches supplémentaires de sécurité qui vous permettront de renforcer vos moyens de défense. Ces couches comprennent l’approvisionnement sécurisé, la communication par canal sécurité, l’analyse des risques du côté client et du côté serveur, et la surveillance continue de session associée à une évaluation des risques et à un apprentissage automatique.
- Tirer profit de l’abondance des données mobiles disponibles pour les organisations financières afin de lutter contre le nombre accru de cyberattaques. Les renseignements liés aux comportements des utilisateurs, ainsi que les données sur leur téléphone (p. ex. : le téléphone a-t-il été débridé? Contient-il des maliciels ou des indices d’autres risques de sécurité? Quelle est la version du système d’exploitation? La géolocalisation? Etc.) peuvent aider à prédire et détecter les fraudes financières en temps réel.
La raison pour laquelle les données sont si importantes pour la sécurité des services bancaires mobiles
Les tendances en matière de fraude démontrent clairement que le fait de se fier à un nom d’utilisateur et un mot de passe pour ouvrir une session ne suffit plus pour prévenir les activités frauduleuses. Toutefois, lorsqu’une personne accède à un compte ou tente d’y avoir accès, il existe de nombreuses données permettant de déterminer s’il s’agit d’un client légitime et si la transaction demandée est également légitime. Ces données comprennent :
- Les données sur l’utilisateur : Type de méthode d’authentification utilisée pour ouvrir une session; profil comportemental; etc.
- Les données sur l’appareil : Type de téléphone mobile que la personne utilise; inscription ou non de l’appareil auprès de la banque; état du débridage/« rootage »; etc.
- Les données sur l’application : Version de l’application; langue; etc.
- Les données sur la santé de l’appareil : Détection des saisies d’écran; alerte d’injection de code; alerte de superposition; etc.
Les fournisseurs de services financiers possèdent ces données, mais ne les recueillent et ne les analysent peut-être pas. En réalité, le canal mobile est un point d’entrée pour une quantité énorme de données, mais 60 % des participants au webinaire ont indiqué qu’ils n’avaient pas suffisamment de visibilité par rapport aux comportements et aux appareils des utilisateurs. Pour répondre à ces questions, les banques, les caisses populaires et les autres institutions financières doivent avoir une solution de prévention de la fraude fondée sur les risques afin d’analyser les mégadonnées pour comprendre les actions et les caractéristiques du parcours de l’utilisateur et de cerner les indices de fraude.
Il serait impossible pour les analystes spécialistes de la fraude ou les scientifiques spécialistes des données de traiter de tels volumes de données manuellement. Contrairement aux êtres humains, l’apprentissage automatique possède la capacité puissante de comprendre et analyser des quantités phénoménales de données, les mettre à l’échelle en fonction du contexte, et attribuer un pointage de risque en temps réel.
Cette technologie permet à un système de prévention de la fraude fondé sur les risques de mettre en application un niveau précis de sécurité, au bon moment, par l’entremise d’une authentification à étapes de plus en plus robustes. L’apprentissage automatique est la seule façon de combattre efficacement les attaques frauduleuses, dont l’ampleur et la complexité augmentent.
Colliger et analyser toutes les données disponibles nécessite un système de prévention de la fraude axé sur l’apprentissage automatique. L’authentification multi-facteurs (AMF), en plus de la prévention de la fraude fondée sur l’apprentissage automatique, peut rendre les cybercrimes beaucoup plus difficiles à commettre pour les fraudeurs. Ces méthodes permettent au système de repérer les instances de fraude et d’y mettre fin en temps réel avant que des dommages considérables ne soient causés. Lorsque les institutions financières y parviennent bien, non seulement les institutions financières améliorent la sécurité et la confiance numérique, mais elles diminuent les frictions dans leurs expériences clients.
Récapitulatif : Mesures de sécurité pour rendre les services bancaires mobiles plus sécuritaires
L’évolution rapide des services bancaires mobiles fait en sorte que les banques apprennent toujours comment gérer les cybermenaces. En résumé, voici quelques-unes des principales mesures que les institutions financières peuvent prendre pour aider à protéger les clients et atténuer la fraude :
- Assurez-vous que vos applications bancaires sont bien sécurisées. Mettez en œuvre une protection d’exécution des applications pour sécuriser vos applications bancaires mobiles, puisque vous ne pouvez pas contrôler l’environnement où elles fonctionnent.
- Fournissez à vos clients une authentification sécurisée et pratique. Utilisez l’authentification multi-facteurs (aussi appelée AMF ou authentification forte client). Il n’est plus suffisant de se fier à un nom d’utilisateur et un mot de passe à l’étape de la connexion pour se protéger contre les activités frauduleuses. De plus, remplacez les mots de passe uniques par SMS par une option de remplacement plus sécurisée. Bien que l’envoi de codes d’authentification unique par messagerie texte soit perçu comme un moyen simple et pratique de communiquer avec un client final, les experts en matière de sécurité ont formulé des avertissements au sujet des SMS comme méthode d’authentification des actions des utilisateurs (connexions, transactions financières, changements au profil, inscription à l’application bancaire mobile/réactivation de l’application, etc.) En effet, l’Autorité bancaire européenne (ABE) a récemment confirmé que les mots de passe uniques par SMS ne répondent pas aux exigences de la DSP2 en matière d’authentification robuste des clients pour les liaisons dynamiques. Il existe plusieurs options de remplacement aux mots de passe unique par SMS, notamment :
- Des notifications poussées envoyées directement à partir d’une application bancaire mobile
- Des mots de passe uniques créés par une application d’authentification mobile autonome
- La biométrie
- Les signatures de transaction hors bande fondées sur des technologies comme Cronto de OneSpan
- Mettre en place un canal sécurisé entre votre client et le serveur de services bancaires. Cette façon de faire empêche les données d’être compromises et permet de créer un profil d’appareil mobile fiable sur le serveur.
- Mettre en œuvre une solution d’évaluation des risques. L’analyse du comportement des utilisateurs et la collecte de données par l’entremise de vos canaux numériques de services bancaires peuvent aider à atténuer les risques liés aux appareils. En attribuant constamment un pointage à l’appareil avec chaque action de l’utilisateur, nous pouvons évaluer le degré de confiance qui lui est attribué en temps réel. Un appareil de confiance peut également être utilisé comme méthode d’authentification sécurisée pour les services bancaires omnicanal.
- Établir un équilibre entre l’expérience utilisateur et la sécurité. L’authentification adaptative est la meilleure façon d’arriver à cet équilibre. Or, pour modifier le niveau d’authentification nécessaire pour chacune des transactions, vous avez besoin d’un système de prévention de la fraude fondé sur les risques. Le concept sous-jacent est simple : en adaptant l’authentification au niveau de risque associé à une transaction ou à une interaction, une institution financière peut rendre l’expérience client à la fois plus sécurisée et plus conviviale.
Points à retenir
L’utilisation des applications bancaires mobiles s’est accélérée en raison de la pandémie. En conséquence, les services bancaires mobiles sont devenus une cible fréquente des cyberattaques. Les institutions financières doivent prendre des mesures pour atténuer ces attaques, y compris la mise en œuvre de solutions d’évaluation des risques.
Ces solutions, comme le système de prévention de la fraude One Span Risk Analytics, font appel à l’apprentissage automatique pour analyser les données des clients afin de déceler les activités criminelles en temps réel. Dans un monde où les activités frauduleuses deviennent de plus en plus évoluées, les entreprises devraient se tourner vers la protection de la fraude axée sur l’authentification multi-facteurs et l’apprentissage automatique comme solution hautement efficace pour protéger les clients des services bancaires mobiles.
1. https://www.statista.com/statistics/617136/digital-populationworldwide/#:~:text=How%20 beaucoup%20 gens%20 utiliser%20 le le%20 l'Internet%20 passant par%20 mobile%20 dispositifs
2. The Forrester Digital Experience Review ™: Résumé des applications bancaires mobiles mondiales, 2020
3. https://www.iii.org/fact-statistic/facts-statistics-identity-theft-and-cybercrime#:~:text=There%20 ont été%204 .8%20 million%20 identité, haut%20 de%20651%2 C000%20 dans%202019
4. https://www.paymentscardsandmobile.com/140-yoy-growth-37-billion-data-breach-records-leaked-in-2020/