Les autorités mettent en garde contre des tentatives de fraude visant les moyens d'authentification mobiles pour accéder à l'e-banking et valider des paiements. Elles appellent à la prudence et émettent des recommandations.
Ces dernières semaines, des attaques de criminels cherchant à manipuler des utilisateurs afin que ces derniers valident des paiements frauduleux ont été enregistrées, indique mardi la centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI.
La plupart des banques utilisent des moyens d'authentification mobiles pour l'accès à un compte bancaire en ligne (e-banking) et pour la validation des paiements. L'envoi d'un code de confirmation par SMS aux clients (méthode mTAN) ayant fait l'objet de nombreux 'hacking', les entreprises ont développé d'autres moyens d'identification.
Désormais, le client peut, à l'aide d'une application sur le portable, scanner un code QR ou une mosaïque s'affichant sur le portail e-banking lors de la connexion ou de la validation d'un paiement. La connexion, respectivement la validation, est ensuite soit directement confirmée par l'application, soit un code est généré et saisi par l'utilisateur sur le portail e-banking.
Si ces méthodes d'authentification sont en principe sûres, des clients se laissent régulièrement tromper et valident des paiements frauduleux, avertit MELANI. Par exemple lorsque le compte destinataire affiché dans l'application est clairement faux ou lorsque les détails d'un paiement apparaissent déjà au cours de la procédure de connexion.
Instructions à suivre
La centrale émet certaines recommandations. Lors du login, il faut s'assurer d'être uniquement en train de se connecter au compte via l'appareil mobile (smartphone ou autre appareil), et non pas en train de valider un paiement, qui pourrait être frauduleux.
En validant un paiement, il faut bien lire tout le texte apparaissant sur l'appareil mobile et vérifiez le montant ainsi que le destinataire (nom, IBAN) du paiement.
MELANI recommande de n'installer que des applications issues de Google Play Store et d'Apple iTunes. Les applications de sources inconnues sont à éviter absolument. Elle conseille en outre de n'apporter aucune modification au portable visant à obtenir plus de privilèges, tels que 'root' pour Android ou 'jailbreak' pour iPhone. Cela affaiblit des processus de sécurité essentiels.
Si un client reçoit un code de confirmation non sollicité par SMS, il faut contacter immédiatement sa banque. Idem lorsque l'on constate des anomalies lors de la connexion au e-banking.
https://www.melani.admin.ch/melani/fr/home/documentation/lettre-d-information/mobileauthentifizierungsmethoden.html
/ATS