Les applis bancaires mettent-elles vos comptes en danger?

Les applis bancaires sont pratiques, mais sont-elle sûres?
3 images
Les applis bancaires sont pratiques, mais sont-elle sûres? - © Jonas Hamers - ImageGlobe

Peut-on faire confiance à nos applications bancaires pour gérer nos comptes depuis un smartphone ? La question est souvent posée et la réponse fournie par un spécialiste de la sécurité informatique chez Eset a de quoi faire froid dans le dos : « Jamais je ne consulterais mes comptes bancaires depuis une application mobile ». Selon Une étude de l’antimalware Kaspersky, 9 du top 12 des malwares qui ciblent le plus les smartphones sont des chevaux de Troie bancaires. Et leur importance a crû de 50% en une seule année (2018).

Un livre blanc identifie deux dangers majeurs

Dans un livre blanc rédigé par l’entreprise Eset, spécialisée dans la sécurisation des logiciels, deux dangers majeurs sont identifiés pour les applications bancaires fonctionnant sur la plate-forme Android. Une plate-forme supportée par la grande majorité des smartphones.

Ces deux dangers majeurs portent un nom : cheval de Troie (MazarBot, BankBot, Anubis et Exobot) et fausses applications bancaires. Leur but est unique : voler les coordonnées des clients, et les détrousser si possible.

S’il fallait décrire ces chevaux de Troie d’un seul mot, ce serait « discrétion ». Leur principal atout est leur capacité à rester invisible le temps du vol. Ces malwares se diffusent principalement par les sites de vente en ligne non officielle. Mais le magasin Google Play (Android) peut aussi servir de vecteur de diffusion, au hasard du chargement d’une application d’allure anodine comme un horoscope, un gestionnaire batterie ou une fausse appli de Pokemon Go. Une fois dans le téléphone, le virus superposera une fausse interface bancaire à la fenêtre légitime lors de la prochaine tentative de l’internaute de se rendre sur le site de sa banque.

Les fausses applications bancaires répondent à un mécanisme plus simple : afficher un site qui ressemble à s’y méprendre à un vrai site financier. Ici, tout est dans la persuasion, amener un client à télécharger sur Google Play une fausse appli de sa banque. En conclusion, le rapport assure que les chevaux de Troie sont plus efficaces que les fausses applis qui touchent moins de gens, mais n’en demeurent pas moins dangereuses.

Les conseils pour ne pas se faire prendre

Comment reconnaître une fausse appli sur le site de Google Play ? S’il n’existe pas de recette miracle, certains indices doivent nous mettre la puce à l’oreille.

Une fausse appli bancaire peut figurer dans une mauvaise catégorie, par exemple dans « livres » plutôt que dans « Finance ». De même, le nom du développeur peut paraître inconnu, sans rapport avec l’institution financière concernée. Et enfin, le faux site proposera des récompenses bancaires, des cadeaux et l’augmentation des limites de crédit sur la carte bleue.

Plus globalement, pour réduire les risques, n’installez que les applis proposées sur les sites officiels (Google Play).

Avant de télécharger une application, il est prudent de prendre le temps de lire les avis des utilisateurs, de consulter le nombre d’installations, les permissions requises par l’appli, et notamment les permissions d’accès aux SMS.

Après l’installation de l’appli, prêtez attention à la demande de nouvelles permissions d’accès et de téléchargement d’autres applis. Dans certains cas, les fausses applis peuvent demander les droits d’administrateur de votre téléphone.

Et en cas de doute suite à des transactions suspectes sur un compte, modifiez le code PIN du mobile et les mots de passe bancaires. Et vérifier les dernières transactions effectuées sur votre compte.

In fine, Installez un logiciel antimalware en privilégiant les plus téléchargés… car il en existe aussi de faux.

Le smartphone: plus fragile par nature

Selon Jean-Michel Merliot, spécialiste de la sécurité chez Eset, le smartphone est, par nature, moins sécurisé qu’un PC. « Par exemple, un keylogger (enregistreur de frappe) pourra plus facilement s’introduire dans un mobile et enregistrer le mouvement des touches lors de l’introduction d’un mot de passe ». Pour des questions de ressources disponibles, les antivirus pour PC sont plus puissants. Notamment parce que le scan permanent de l’activité internet d’un téléphone réduirait sensiblement l’autonomie de la batterie. Ce qui fait dire à Jean-Michel Merliot : « Jamais je ne ferais une transaction bancaire depuis un téléphone mobile »

L’iPhone: un peu plus sûr

Dans le cas de l’iPhone, le risque de piratage bancaire serait - un peu - moins grand. La raison, explique l’expert en sécurité, est que l’iPhone est « locké ». C’est un système fermé qui, notamment, ne permet pas de faire tourner un processus de scannage en permanence. L’impossibilité d’exécuter des tâches de fond empêche d’utiliser un logiciel espion de type Keylogger, mais interdit, dans le même temps, d’utiliser un antimalware. Quoi qu’il en soit, les malwares s’invitent aussi sur les iPhone. Et plus encore, explique Thierry Gourdin, de Kasperski, lorsque ses propriétaires pratiquent le « jailbraking » de leur iPhone. Ce qui permet d’accéder à des services interdits par Apple, mais dont profiteront aussi les pirates.

Le mode d’authentification joue également un rôle dans la sécurité de l’appli bancaire. Un simple code à 6 chiffres est facile à craquer. Une meilleure protection est assurée par une procédure d’identification à double authentification. Elle ajoute, au code traditionnel, une confirmation par mail ou par SMS.

Les Belges mieux lotis

L’internaute belge est un peu mieux loti du fait de la double authentification par digi-pass, mais cela n’empêche pas les mauvaises surprises, explique Olivier Bogaert , commissaire à la Belgian Crime Unit : "Il existe de nombreux dossiers de fraude au digi-pass. Et notamment sur les sites de seconde main. Un interlocuteur appelle une personne pour lui annoncer que DHL viendra chercher le produit. Le lendemain, une personne se présentant comme un employé de DHL demande à la future victime de se munir de son digi-pass. C’est ainsi qu’une dame qui vendait un chemisier de 25 euros en a perdu 2500." Par ailleurs, le digi-pass n'est utilisé que sur PC et pas sur mobile.

Rodolphe Pierpont de Febelfin explique que chaque banque à sa propre politique basée sur un équilibre entre facilité d'emploi de l'appli et sécurité. "Des équipes travaillent 24/24 à la sécurisation des transactions bancaires, mais il ne faut jamais oublier que le code secret est une signature qu'il ne faut jamais confier à d'autres."

Quelle que soit la marque du téléphone (et son OS), il est totalement déconseillé de cliquer sur un lien proposé dans un e-mail. C’est l’illustration même du phishing, et la meilleure manière d’être réorienté vers un site pirate. Et plus encore depuis que les URL peuvent utiliser d’autres caractères que le traditionnel ASCII. Certains de ces nouveaux caractères permettent d’imiter des lettres telles que le « A » et faire croire que le nom du site proposé est exact. La meilleure technique consiste dès lors à ouvrir une URL bancaire depuis ses « favoris ».

Et si vous avez des doutes sur la protection de vos mots de passe, deux sites publient régulièrement la liste des mots de passes dévoilés de millions d’identifiants.

Ghostprojetc.fr

HaveIbeenpwned

Newsletter info

Recevez chaque matin l’essentiel de l'actualité.

OK