Le piratage de données bancaires sur Internet dépasse l'imagination

@Sylvain Ca c'est un sujet pour l'ami Sylvain ! J'en profite pour vous glisser l'adresse de son blog qui parle régulièrement d'authentification forte et de contrôle d'accès (http://sylvain-maret.blogspot.com ). Sylvain, un commentaire sur cette actualité ?

@Csimonnet, tu peux également détailler sur PCI ? Etant donné que ce n'est pas encore très connu en France...

C'est ausii un sujet qui a été traté par Le Cercle Européen de la Sécurité il y a peu de temps (dans le cadre d'une soirée consacrée au marché underground des failles et à la cybercriminalité). Détails et compte-rendus sur www.lecercle.biz

Concernant PCI DSS, un bon tutorial (pour ceux qui ne connaissent pas ou peu) sur le site d'Hervé Schauer -> http://www.hsc.fr/ressources/articles/g ... ex.html.fr

Vous avez également quelques WP et un guide de mise en œuvre sur le site de Qualys : http://www.qualys.com/resources/guides/ ... es/guides/

Qualys propose également des évaluations gratuites.

Par ailleurs ce que je vois de plus en plus souvent, c'est l'utilisation du PCI comme standard de sécurité et de plus réclamé par les métiers. On voit donc certaines entreprises n'étant pas soumis à la compliance PCI, qui souhaite utiliser cette norme pour assurer la sécurité de son SI.

Le Buzz continue : http://fr.news.yahoo.com/pcinpact/20080 ... f7783.html

Cette attaque va faire date car les sanctions de Visa/Mastercard vont probablement tomber;

Reste à voir si s'est le même problème comme chez TJX: le WiFi avec WEP, sachant que le WEP seul est interdit par le PCI DSS [1] pour la transmission de données bancaires, le flux doit être encapsulé dans autre choses (IPSec, WPA, WPA2, ou encore SSL/TLS) [voir section 4.1.1 dans 2] .

Sinon, voir aussi [3] pour un article plus approfondi.

[1] https://www.pcisecuritystandards.org/in ... ndex.shtml

[2] https://www.pcisecuritystandards.org/pd ... s_v1-1.pdf

[3] http://www.theregister.co.uk/2008/08/06 ... _analysis/

Je ne suis pas surpris par cette information. En effet les systèmes e-Banking aux US sont assez en retard sur les processus de sécurisation. Notamment sur les mécanisme d'authentification forte. Mais les choses bougent un peu. Depuis octobre 2005 le Federal Financial Institutions Examination Council (FFIEC) a émis une directive pour le domaine bancaire. Il est obligatoire de mettre en œuvre une solution d'authentification forte avant la fin 2006. Est ce vraiment mis en œuvre ? Je ne sais pas.

http://www.ffiec.gov/press/pr101205.htm ... 101205.htm

Je pense que cette mesure va augmenter "sensiblement" le niveau de sécurité. Mais ce n'est pas la solution miracle... L'utilisation de Web Application Firewall (WAF) couplée avec une authentification périmétrique serait une bonne solution. Quand pensez vous ? C'est une piste. Et l'utilisation de SSL comme moyen de chiffrement. Même avec une authentification forte de type OTP il est possible de faire un MiM. Ce qui n'est pas le cas à ma connaissance avec l'utilisation d'un certificat user.

Dernièrement au STIC Frédéric Charpentier et Yannick Hamon nous ont présenté un Bankers redoutable. Cela montre vraiment les enjeux concernant le vol des identités numériques. Et d'après moi c'est que le début.

http://actes.sstic.org/SSTIC08/Autopsie ... Banker.pdf

Concernant PCI DSS, c'est une bonne base a utiliser comme Best Practice même si l'on n'est pas soumis à cette régulation. Certaines entreprise utilise PCI comme point de départ pour la sécurisation des applications Web. Donc cela porte un peu ces fruits.

Voilà on peut dire beaucoup de chose sur le sujet. Je pense que l'on va encore beaucoup entendre concernant le vol des identités. Surtout avec le web 2.0. Peut être OpenID est une piste intéressante avec une authentification forte?

Sur la remarque de Sylvain "...même si l'on n'est pas soumis à cette régulation". En fait tout commerçant (au niveau international) dont la banque acquéreur (celle qui collecte ses transactions de paiement) est soumis à PCI DSS. Si pénalités il doit y avoir, c'est sur cette banque qu'elles tomberont car le commerçant n'a pas de relation directe avec Visa et MC. Les menaces de sanctions visent à obliger les banques à pousser leurs commerçants à se mettre en conformité avec PCI DSS.

A noter que PCI DSS est une sorte de fax simile de l'ISO 27001 (lire l'excellent article d'Alexandre Fernandez sur le site d'HSC). Le gros problème c'est que l'audit PCI est fait à l'anglo-saxonne sur la base de mécanismes à mettre en oeuvre et non d'objectifs de sécurité.

Pour abonder dans le sens de Thierry, je suis convaincu que les commerçants seront à terme directement impactés, car si les banques payent des pénalités pour non conformité PCI-DSS en cas de fraude, elles feront supporter le poids de ces pénalités à leurs "mauvais" clients (i.e. ceux qui n'ont pas entrepris un chantier de mise en conformité) sous forme de commissions bancaires revues à la hausse. J'observe comment nos partenaires bancaires "poussent" depuis le début de l'année en ce sens. Je suis donc persuadé que cela va arriver sous peu.

Il ne faut pas oublier non plus que, même si PCI-DSS vise avant tout à fixer des exigences de sécurité pour le E-commerce, la majorité des grandes enseignes de distribution classiques sont également concernées dès lors qu'elles dépassent un certain volume de transactions cartes annuelles dans leurs magasins.

Enfin, je terminerais en précisant que le standard PCI-DSS utilisé comme guideline pour élaborer une politique de sécurité n'est pas suffisant à lui-seul, car il se limite à remplir des objectifs de Confidentialité des données de porteurs de carte. Le volet Disponibilité n'est pas du tout abordé.

Effectivement le standard PCI DSS comme Best Practice est très focalisé sur la confidentialité. Cependant cela peut être un point de départ pour établir une politique de sécu et ensuite ajouté les éléments manquants.

Le gros problème est que PCI DSS tombe alors que des sociétés ont déjà organisé leur SI en utilisant le n° de carte bancaire comme un identifiant et pas seulement comme une information de paiement.

Exemple des grandes sociétés de transport ferroviaire ou aérien (que je ne citerais pas) permettent le retrait de billets électroniques avec présentation de la carte. On convient facilement qu'une telle architecture nécessite plus d'attention pour la protection des n° de cartes qu'une autre où les données cartes ne servent qu'au paiement.

Par ailleurs pour la remarque de SOmmnes sur 'les mauvais clients".... ils restent des clients pour la banque et ils apportent du chiffre d'affaire. Est-ce qu'on a déjà vu un fournisseur dire à son client qu'il était mauvais ??? La marge de manœuvre des banques est très étroite au risque de voir partir leur client commerçant chez un concurrent moins regardant.

et est ce que vous connaissez SAWS de mobilegov ? l'pproche est originale, il s'agit d'utiliser son périphérique favori (sa clé USB, son telephone mobile ou encore son iPod) pou s'authentifier en ligne. Plus besoin de token réel ou virtuel...www.mobilegov.com

Oui je connais, c'est une bonne approche. Mais si je comprend bien cette techno travaille en mode connecté. En d'autre terme il est nécessaire de connecter son device sur le PC ?

Autrement une bonne approche est l'utilisation d'un OTP envoyé par SMS (RSA, Diversinet, etc.)

Merci pour l'info, je vais regarder cela de plus prêt.

Pour suivre ce que dit Sylvain, il serait temps d'imposer aux societes de mettre en place de l'authentification forte. Pour les banques, il y a encore un bon nombre d'e-banking qui fonctionne uniquement avec login/pass ce qui est quand meme leger aujourd'hui quand on connait les systemes existants et que leur cout diminue fortement.

Quid aussi d'un mecanisme d'authentification forte mis en place au niveau gouvernemental et qui pourrait etre reutilise par les societes privees, comme eID en belgique, qui embarque un certificat ssl dans la carte d'identite, ainsi qu'un lecteur de carte distribue a chacun. Associe a un mot de passe, ce systeme pourrait faire monter d'un cran le niveau de securite avec un cout de deploiement partage.

Au final pour moi, c'est aux gouvernements d'imposer aux banques de mettre en place ce genre de solutions. Quand on voit aujourd'hui que ces dernieres ont des profits records, ca ne leur ferait pas de mal...

Deux articles sur le vol des identités numériques.

http://www.atelier.fr/securite/10/05082 ... 6973-.html

http://www.atelier.fr/securite/10/01082 ... 6958-.html