C'est pas mon idée !

jeudi 11 octobre 2012

Fraude sur le retrait sans carte de NatWest

NatWest
Comme quelques autres établissements autour du globe, la britannique NatWest a lancé en juin dernier un service de retrait d'espèces sur GAB ("Guichet Automatique de Banque") sans carte, fonctionnant grâce à l'application mobile de la banque, qui fournit un simple code à saisir sur l'automate. Malheureusement, l'expérience a mal tourné, s'il faut en croire un reportage de la BBC.

En effet, un certain nombre de clients se sont plaints de retraits frauduleux, attribués à ce système baptisé "Get Cash". Dans l'un des cas cités, les malfaiteurs ont pu obtenir 950 £, en 11 retraits effectués en 3 jours, sur le compte d'une personne qui n'était même pas abonnée aux services mobiles (un préalable indispensable à l'utilisation de la fonction) ! La réaction de NatWest (et de RBS, sa maison mère) ne s'est pas fait attendre : l'option est actuellement désactivée, officiellement pour une maintenance planifiée.

Fonction "Get Cash" sur mobile

Alors, faut-il porter au pilori cette idée qui semblait pourtant séduisante ? Pas si sûr, car, malgré les apparences, le service de retrait sans carte n'est pas nécessairement en cause en tant que tel. Et, dans tous les cas, quelques enseignements utiles peuvent être tirés de ce fiasco.

Tout d'abord, concernant le mode opératoire de la fraude, il semblerait, d'après le récit qu'en donne la BBC, qu'il s'agisse essentiellement d'une "banale" usurpation d'identité : une personne se fait passer pour le client de la banque, demande l'activation des services mobiles sur son compte et utilise ensuite l'application pour obtenir des espèces sur les automates. Il n'y aurait donc là rien de spécifique à la fonction "Get Cash" mais plutôt une énorme faille dans les procédures de la banque (avec, peut-être, une imprudence des clients). De quoi s'inquiéter (encore plus) du service "Emergency Cash" qui permet de recevoir un code de retrait par un simple appel téléphonique au centre de contact !

Avec les progrès des systèmes de sécurité des banques et la vigilance croissante des consommateurs, les attaques "classiques" passant par des achats et virements frauduleux peuvent être détectées rapidement et, souvent, voir leur exécution annulée avant bonne fin. En conséquence, un dispositif qui permet d'obtenir immédiatement des espèces est une cible privilégiée pour les escrocs en tout genre. La chaîne de sécurité mise en œuvre doit donc être particulièrement robuste.

Or, ce n'est visiblement pas le cas pour l'implémentation de NatWest. Dans le cas particulier cité plus haut et independamment de la faille ayant permis l'usurpation d'identité, il paraît étonnant que 11 retraits aient pu être effectués successivement, avec une application mobile nouvellement activée, sans lever quelques alertes dans les logiciels anti-fraude qui devraient être en place, surtout si cette série s'écarte du comportement habituel du client "réel".

La conclusion de cette affaire est un conseil de prudence. Lors du lancement d'un nouveau service, la sécurité doit être pensée à tous les niveaux du projet. Au-delà des règles strictes qui s'imposent aux logiciels (mobiles et autres) créés pour l'occasion, les procédures de support et, notamment, les interventions humaines sont aussi directement concernées. Et l'efficacité des outils de protection existants doit également être vérifiée. Enfin, n'oubliez jamais la réactivité des fraudeurs : dans le cas de NatWest, il leur a fallu moins de 3 mois après le lancement de "Get Cash" pour trouver la faille...

Aucun commentaire:

Publier un commentaire

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)