[PARTENARIAT] Benoît Grünemwald, expert en cybersécurité chez ESET, évoque une nouvelle arnaque ciblant les utilisateurs de smartphones, via le système de paiement sans contact.
Interview : Benoit Grünemwald, expert cybersécurité chez ESET
En quoi consiste cette nouvelle fraude récemment découvert concernant les smartphones ?
Nous avons identifié cet été une nouvelle fraude visant les utilisateurs d'Android et iOS. Les criminels se faisaient passer pour des banques et envoyaient des liens permettant d'installer des applications web progressives. Ils persuadaient ensuite les victimes de scanner leur carte bancaire via NFC, récupérant ainsi les données pour effectuer des achats frauduleux avec des cartes clonées.
Comment expliquer que des victimes aient pu se laisser prendre ?
Les criminels utilisaient l'ingénierie sociale pour convaincre les victimes de scanner leur carte sur leur téléphone. Grâce aux données NFC, ils clonaient la carte et l'utilisaient pour des paiements sans contact dans des magasins. Bien qu'il soit inhabituel de scanner sa carte de cette manière, ils parvenaient à être très persuasifs.
Peut-on s'attendre à d'autres attaques similaires ?
Cette arnaque a été détectée en République tchèque et testée sur trois banques. Bien que les banques aient été alertées, il s'agit d'une preuve de concept, et il est probable que les criminels cherchent à l'étendre ailleurs. Heureusement, les banques travaillent déjà sur des contre-mesures pour limiter les risques à l'avenir.
Benoit Grunemwald :
[0:00] Là, ils sont allés jusqu'à réussir à faire scanner la carte sur le smartphone de la victime. Ce qui fait qu'eux réussissaient à cloner cette carte et à ensuite, dans les magasins, payer avec cette carte sur leur smartphone.
Monde Numérique :
[0:16] Bonjour Benoît Grunemwald.
Benoit Grunemwald :
[0:18] Bonjour Jérôme.
Monde Numérique :
[0:19] Expert cybersécurité chez Ezet. On se retrouve régulièrement en partenariat avec ESET pour faire le point sur la cybersécurité et la cybermalveillance aussi, malheureusement. D'abord, Benoît, un petit bilan. Finalement, ces Jeux Olympiques et Paralympiques, à propos desquels on avait énormément de craintes, on s'attendait à une espèce de cataclysme cyber. Et bien finalement, surprise, ça s'est plutôt bien passé.
Benoit Grunemwald :
[0:49] Effectivement, médaille d'or pour tous ceux qui ont défendu les Jeux olympiques. C'est un travail qui a été complexe, complet, notamment, et qui a demandé un grand nombre de coopérations entre des forces publiques, des forces privées et tous les acteurs qui ont fait que les JO ont pu se tenir sans grands événements de cybersécurité majeure.
Monde Numérique :
[1:13] Est-ce qu'on peut dire qu'il n'y a pas eu d'attaque ou que les attaques ont bien été contrées ?
Benoit Grunemwald :
[1:18] Alors, l'ANSI recense 548 événements de sécurité qui comprennent à la fois des signalements, mais également des incidents avérés chez des bénéficiaires ou des organisations. Et donc, on a les deux. Je me souviens, avant les JO, que l'ANSI avait mis à disposition des kits pour pouvoir s'entraîner, notamment à travailler ensemble, mais également à réagir en cas de cyberattaque. Et je dirais que force est de constater que cela a bien fonctionné et que à la fois les autorités et les organisations partie prenante ont fait chacune leur travail.
Monde Numérique :
[1:52] C'est une bonne nouvelle parce que ça montre que finalement, quand il y a une mobilisation, une prise de conscience et une préparation, on arrive à faire face à la menace. Donc l'ANSI qui est, on le rappelle, l'Agence Nationale de Sécurité des Systèmes d'Information.
Benoit Grunemwald :
[2:06] Tout à fait.
Monde Numérique :
[2:06] L'Agence nationale. Alors, cela dit, Benoît, après les JOP, les affaires reprennent, ou elles continuent, si on peut dire, et vous avez relevé, détecté un nouveau type d'arnaque, quand même assez inquiétant. De quoi s'agit-il ?
Benoit Grunemwald :
[2:23] Oui, cet été, nous avons découvert des menaces qui visaient les utilisateurs d'Android et de iOS, sous deux formes qui sont liées chacune à la récupération soit de données personnelles soit de données bancaires et qui visaient donc à récupérer nos informations pour pouvoir commettre des usurpations de données bancaires.
Monde Numérique :
[2:45] Alors, de quelle manière ? Quel est le mode.
Benoit Grunemwald :
[2:48] Le premier mode opératoire vise à récupérer les données NFC de la carte bancaire. Les données NFC, c'est ce qui nous permet de payer sans contact, avec les limites que l'on connaît, 50 euros et un nombre restreint dans la journée ou sur une période. Mais le cybercriminel se faisait passer pour une banque, ça s'est passé en République tchèque, se faisait passer pour une banque, envoyer des SMS ou proposer des publicités malveillantes, notamment sur Facebook. Une fois qu'il avait attrapé sa victime, il lui envoyait une URL, un lien web qui lui permettait d'installer une application, ce que l'on appelle PWA, Progressive Web Application. C'est-à-dire qu'en fait, c'est une application qui n'a pas besoin de s'installer pour fonctionner. Et à partir de là, il réussissait à récupérer des informations sur la carte bancaire en demandant à la victime de passer sa carte bancaire sur son lecteur NFC.
Monde Numérique :
[3:47] C'est assez surprenant quand même, parce que ça fait appel à une pratique plutôt inhabituelle. Je veux dire, on ne fait pas ça tous les quatre matins, de mettre sa carte bancaire sur son téléphone.
Benoit Grunemwald :
[3:56] Clairement, et c'est là où on se dit que ces acteurs malveillants sont vraiment très persuasifs, parce qu'on sait qu'ils arrivent à nous persuader de leur transmettre des codes, par exemple, pour valider des paiements ou pour autoriser l'ajout d'un nouveau bénéficiaire pour des RIB et des virements dans nos comptes. Et là, ils sont allés jusqu'à réussir à faire scanner la carte sur le smartphone de la victime. Ce qui fait qu'eux réussissaient à cloner cette carte et à ensuite, dans les magasins, payer avec cette carte, enfin avec notre carte sur leur smartphone.
Monde Numérique :
[4:31] Est-ce qu'ils pouvaient nous prendre de l'argent directement via cette arnaque ?
Benoit Grunemwald :
[4:37] Alors, le paiement sans contact permet de fonctionner, fonctionne sur un TPE, donc chez un commerçant. Alors, peut-être qu'avec l'aide d'un commerçant malveillant, ils pouvaient récupérer l'argent une fois, deux fois jusqu'à atteindre la limite et puis ensuite demander aux commerçants de leur donner, de leur restituer cette opération en liquide. Mais ça, l'histoire ne le dit pas. A priori, ils ont plutôt bénéficié d'achats. Et ensuite, on sait comment ça se passe quand les cybercriminels achètent des éléments. La plupart du temps, ils les revendent. Donc, il y a du recel. Ils utilisent des mules ou d'autres personnes pour revendre et donc là, avoir du cash.
Monde Numérique :
[5:19] On a beaucoup parlé, je crois qu'on en avait parlé ensemble lors d'un précédent rendez-vous, des arnaques aux faux conseillers bancaires. C'est un petit peu la suite, ça, non ?
Benoit Grunemwald :
[5:30] Complètement. On est sur un niveau qui est supérieur. J'ai l'impression qu'ils ont un petit peu, comment dire, éclusé les différentes arnaques aux faux conseillers bancaires qu'ils pouvaient faire de manière, si je puis dire, traditionnelle ou celle que l'on connaissait auparavant.
Monde Numérique :
[5:46] Oui, d'ailleurs, il y a des protections maintenant qui commencent à se mettre en place. Donc, en principe, c'est un fléau qui devrait disparaître.
Benoit Grunemwald :
[5:53] Oui, en tout cas, ça devrait fortement s'amenuiser. Effectivement, maintenant, si vous faites un virement ou si vous ajoutez un nouveau destinataire pour un virement, eh bien, on va vous demander si vous n'êtes pas en ligne avec un conseiller bancaire ou avec un proche. Et si c'est le cas, eh bien, l'application va bloquer ou va vous demander de réessayer plus tard. Mais là, il n'y a pas encore d'avertissement qui vous dise si vous êtes avec un conseiller bancaire et que celui-ci vous demande de scanner votre carte, eh bien, vous allez le faire, vous n'allez pas forcément avoir de warning qui vont vous alerter.
Monde Numérique :
[6:28] Donc, c'est un mélange entre ce qu'on appelle de l'ingénierie sociale, donc de l'humain, il faut trouver les mots, les bons messages, être persuasif, et de la technologie.
Benoit Grunemwald :
[6:37] Oui, complètement. Et on voit bien que l'ingénierie sociale est au cœur des problématiques. D'ailleurs, le mois de la cybersécurité qui commence en octobre 2024 aura pour thème l'ingénierie sociale.
Monde Numérique :
[6:49] – Benoît, donc ça concernait quel type de public, dans quel pays, sur quel type de téléphone ?
Benoit Grunemwald :
[7:00] – Eh bien, cela concerne à la fois des utilisateurs sur Android et iOS. Et cette recherche a été menée en République tchèque. Donc, pour l'instant, heureusement, contenue à un seul pays. Alors, trois banques ont été ciblées, mais contenues sur un seul pays. Et malheureusement, les utilisateurs Android sont toujours les plus ciblés et sont ceux sur lesquels les cybercriminels vont se pencher en priorité.
Monde Numérique :
[7:26] Oui, j'en parle au passé, mais rien ne dit que ça ne va pas se reproduire, ce type d'attaque, et rien ne dit qu'on ne verra pas arriver ça chez nous également.
Benoit Grunemwald :
[7:34] On peut voir ça comme une sorte de proof of concept en anglais, une preuve de concept, c'est-à-dire qu'ils ont testé cela. Alors, ils ne sont pas passés sous les radars, fort heureusement, mais ils ont testé cela, cela a fonctionné et on peut effectivement se demander à quel niveau cela va se déployer. L'avantage du fait qu'ils aient été trouvés, c'est qu'aujourd'hui les banques et le GIE Carbancar et tous les opérateurs bancaires sont au courant de cette nouvelle possibilité.
Benoit Grunemwald :
[8:06] Donc il y a fort à parier qu'ils soient déjà tous en train de plancher sur des contre-mesures.
Monde Numérique :
[8:11] Benoît, encore une question. comment est-ce qu'on arrive à découvrir ce type d'arnaque ?
Benoit Grunemwald :
[8:17] Alors, c'est à la fois complexe et une fois qu'on est rentré dans des mécanismes, c'est assez facile. En fait, on a 16 laboratoires à travers le monde et dans ces laboratoires, il y a des chercheurs qui mettent en place à la fois des onipotes, mais également...
Monde Numérique :
[8:34] En français, donc des pots de miel pour attirer les pirates, c'est ça ?
Benoit Grunemwald :
[8:39] Exactement, c'est-à-dire qu'on essaye nous-mêmes d'être une victime. Donc ça, c'est un des premiers moyens d'attirer les cybercriminels. Et puis ensuite, on a également des coopérations avec les institutions bancaires, mais pas que, avec différentes organisations qui vont voir des éléments suspects et nous demander si on peut les étudier. Et puis ensuite, il faut quand même savoir qu'on protège un milliard d'internautes à travers le monde et qu'il est facile pour nous de récupérer des données anonymes qui vont nous mettre la puce à l'oreille. Alors ça passe à la fois par des systèmes automatiques de l'intelligence artificielle qui va dire « Tiens, là j'ai vu un logiciel, est-ce qu'il est malveillant ? Est-ce qu'il n'est pas malveillant ? Quel est son comportement ? » Et s'il y a un comportement qui est suspect et notamment que l'intelligence artificielle ne peut pas qualifier, eh bien, en fait, ça va remonter à un ingénieur recherche qui, lui, aura pour objectif de déterminer si c'est ou pas un logiciel malveillant. Et c'est là où on va vraiment très régulièrement récupérer des logiciels malveillants
Benoit Grunemwald :
[9:36] grâce à ce système, on va dire, semi-automatique.
Monde Numérique :
[9:39] Et puis, les auditeurs de monde numérique aussi sont prévenus, du coup. Donc, si on vous demande de passer votre carte bancaire sur votre téléphone, et bien surtout, ne le faites pas, à moins d'avoir recueilli toutes les garanties préalables. Mais c'est vrai que c'est une pratique qui n'est pas vraiment répandue encore aujourd'hui. Moi, je n'ai jamais été appelé par ma banque ou je n'ai jamais utilisé ce type d'opération, même de manière légale.
Benoit Grunemwald :
[10:06] Oui, c'est quelque chose qui est tout à fait inhabituel. On peut l'utiliser notamment dans le monde du hacking, lorsque l'on souhaite lire ou copier des tags NFC, notamment lorsque vous avez des anciens vigiques qui vous permettent d'ouvrir les portes pour accéder aux immeubles, par exemple. Eh bien, en fait, on peut lire ces tags. Si ce sont des anciens, on peut parfois même les copier, ce qui est pratique si vous le perdez. Mais les nouvelles générations sont plus complexes et plus sécurisées. Donc ça n'a plus trop d'intérêt aujourd'hui de le faire avec son smartphone Eh.
Monde Numérique :
[10:41] Bien merci beaucoup Benoît Grenenwald expert cybersécurité chez EZ.