Nul n’est censé ignorer aujourd’hui les méthodes utilisées par les escrocs pour obtenir des données bancaires, surtout lorsqu’elles commencent à être bien connues. C’est l’esprit d’une décision de la Cour suprême fédérale allemande annoncée ce mardi, aux termes de laquelle le client d’une banque qui s’était fait gruger lors d’une attaque de phishing n’obtiendra pas d’indemnisation. En janvier 2009, un retraité de Rhénanie du Nord-Westphalie avait été la victime d’une telle attaque, fournissant aux auteurs d’une fausse page de webbanking dix codes de transaction bancaires, dits TANs, et se faisant délester trois mois plus tard de 5 000 euros, virés sur un compte en Grèce. La banque en question a pu prouver qu’elle avait dûment mis en garde ses clients contre la possibilité de telles expéditions de phishing et les avait enjoints à la prudence.
La décision des juges de Karlsruhe signifie qu’à l’avenir, les clients de banques allemandes devront veiller eux-mêmes à l’authenticité des pages de webbanking qu’ils visitent et qu’ils devront s’attendre à ce que leurs demandes de remboursement en cas d’escroqueries réussies par phishing leur soient refusées dès les premières instances.
Pour ce retraité escroqué, il s’agit sans doute d’une déception amère. Mais il faut dire qu’elle intervient dans un domaine, celui du phishing dit simple, par email et fausse page web, qui a aujourd’hui pratiquement entièrement disparu. Certes, des invitations à aller actualiser ses données bancaires continuent d’affluer dans les boîtes email. Mais selon les experts en sécurité, cette méthode ne fait plus recette. Les cyber-truands sont aujourd’hui obligés, pour parvenir à leurs fins, d’utiliser des méthodes bien plus sophistiquées.
La première raison de cette évolution est que le webbanking lui-même s’est considérablement sophistiqué. Obtenir des codes de transaction sur une fausse page web ne suffit plus, dans la plupart des cas, pour prendre le contrôle d’un compte bancaire : il faut aussi obtenir d’autres identifiants, ce que la systé-matisation des connexions sécurisées, de type SSL, rend beaucoup plus difficile voire impossible.
La seconde est que les utilisateurs de services bancaires en ligne sont devenus bien plus difficiles à berner. Il ne suffit plus d’un email plus ou moins bien formaté pour donner l’illusion d’une communication authentique de la banque. Et concernant le camouflage de l’adresse web de la page sur laquelle la victime est censée fournir ses détails d’identification, la vigilance des consommateurs est montée d’un cran. Certes, les escrocs ont entre-temps appris à afficher une fausse adresse dans le navigateur de leur victime, ce qui facilite la méprise. C’était déjà le cas pour ce retraité allemand grugé en 2009. Malgré cet élément de sophistication, ont estimé les juges, il ne saurait être question de reprocher à la banque d’avoir insuffisamment protégé ses clients contre de telles attaques. Ce qui pouvait ressembler à de la négligence de la part de la banque il y a dix ans, lorsque le webbanking commençait à s’étendre, ne l’est plus aujourd’hui.
Évidemment, les escrocs ne baissent pas les bras et continuent de peaufiner leurs méthodes. Plutôt que de vouloir obtenir des données bancaires complètes lors d’expéditions au petit bonheur la chance, ils essaient plutôt aujourd’hui d’installer des chevaux de Troie sur les ordinateurs de leurs victimes, ainsi que des logiciels renifleurs qui enregistrent les touches actionnées sur le clavier (« key-logger ») et les leur renvoient. Pour parvenir à leurs fins, les cybercriminels recourent aussi à de nouvelles techniques qui consistent à afficher de fausses données non seulement dans la barre de navigation, mais sur la page web elle-même. L’auteur de la tromperie peut alors espérer non pas obtenir les identifiants bancaires, mais convaincre sa victime de virer lui-même de l’argent sur son compte. Ce qui suppose non pas un arrosage en masse comme dans le phishing classique, mais des opérations bien plus ciblées et menées en temps réel par les arnaqueurs.