L’attaque n’a rien de très nouveau et le cheval de Troie qui la met en oeuvre non plus. Mais la visite à Dublin (Irlande) du Security Response Center de Symantec nous donne l’occasion de revenir sur le cheval de Troie Silent Banker et – surtout – sa technique de contournement des sécurité bancaires avancées.

Découvert en début d’année par les équipes du SRC de Dublin, le cheval de Troie reconnaît quatre cent établissements bancaires. « Reconnaître » signifie ici qu’il est en mesure de comprendre (parser, pour les techniciens) les échanges qui interviennent lors d’une transaction en ligne, tel le virement vers un compte bancaire extérieur.

Installé sur le PC de sa victime selon des procédés classiques, le cheval de Troie est ainsi stratégiquement positionné entre l’internaute et sa banque, et il peut donc observer tous les échanges. Y compris, bien entendu, ceux chiffrés et censés être protégés par le fameux « petit cadenas », puisque il accède à ces informations avant leur chiffrement. « Le code malveillant agit comme un proxy local installé sur le PC de la victime, ce qui lui permet non seulement de voir passer, mais aussi de modifier, le trafic de manière transparente pour l’utilisateur », précise Liam O’Murchu, ingénieur sécurité au Response Center de Symantec.

Une attaque silencieuse

L’attaque est alors d’une simplicité redoutable : lorsque la victime procédera à un virement en ligne, le Cheval de Troie interceptera les données du compte destinataire et les remplacera silencieusement par celles d’un compte appartenant au pirate. Lorsque le site de la banque affichera en retour la page web de confirmation de l’ordre, le code malveillant la recevra en premier et pourra y remettre le compte de destination original. Sur l’écran de la victime les informations seront donc parfaitement conformes à son ordre, alors que la banque dispose, elle, d’un ordre tout à fait différent.

Vient la phase d’authentification forte : la banque exige de s’assurer que c’est bien son abonné légitime qui a passé l’ordre et non un pirate utilisant son compte. Elle peut pour cela avoir distribué de petites calculettes qui génèrent un code de sécurité à usage unique, ou tout simplement envoyer ce dernier par SMS sur le mobile de son abonné. Dans tous les cas, puisqu’elle ne fait que vérifier l’identité de l’utilisateur et non l’intégrité de l’ordre, elle a perdu.

Recevant un code de sécurité à saisir pour compléter sa transaction, et confronté à une page web qui récapitule fidèlement les informations qu’il a communiqué (parmi lesquelles le bon destinataire), l’internaute va alors entrer le code de sécurité dans le formulaire et le valider.

A cet instant, le Cheval de Troie va de nouveau intercepter ces informations et remplacer les coordonnées du compte de destination par celui du pirate. La banque recevra alors une confirmation de l’ordre précédent, avec toujours la même destination pour les fonds, et en outre le code de validation correct. Elle procédera alors selon toute probabilité au virement (nonobstant les contrôles liés à l’activité habituelle du compte, le pays de destination des fonds, etc…)

Illustration : la procédure d’une attaque de type « Homme du Milieu » dans le cadre d’une transaction de banque en ligne.

La protection

La parade immédiate à une telle attaque consiste bien entendu, pour les banques, à transmettre par SMS également les meta-données de la transaction (et notamment le compte du destinataire). L’utilisateur aurait alors la possibilité de détecter l’incohérence des deux comptes de destination. Toutefois, lors de la présentation de Liam O’Murchu, un journaliste présent a vérifié les SMS de sa banque sur son mobile et constaté que ceux-ci n’indiquent bien que le code de sécurité.

La solution la plus simple demeure alors de s’assurer que le poste de travail est propre… ce qui demeure tout un programme ! Un programme auquel les banques s’intéressent toutefois : certaines d’entre elles, notamment au Royaume-Unis, distribuent gratuitement des suites de sécurité à leurs abonnés. A quand du NAC pour les particuliers ?