Les fraudes précédentes s’appuient sur un accès physique à un des éléments du système monétique. Les fraudes basées sur le système de traitement monétique s’appuient sur un accès logique soit au niveau du client (ordinateur d’un client de vente à distance), soit au niveau du serveur (serveur de e-commerce ou serveur d’acceptation).
4.4.1 Fraudes côté client
L’ordinateur ou le téléphone mobile du client sont souvent exclus du périmètre du système monétique, notamment lorsque l’on considère les évaluations sécuritaires. Les responsables de systèmes d’information monétiques n’ont en effet aucune emprise sur le poste de leurs clients.
Lorsque l’on considère la fraude, il devient toutefois important de considérer le poste client comme part entière du système d’information monétique, puisqu’une part importante de la fraude semble en être issue.
4.4.1.1 Fraude par hameçonnage
La fraude par hameçonnage, ou phishing, semble la plus connue du grand public puisque tout usager d’Internet fait au moins une fois l’expérience d’une tentative d’hameçonnage. Cette fraude consiste à envoyer un courriel en masse (spam), poster un message sur un forum ou afficher un encart publicitaire usurpant l’identité d’une banque émettrice ou d’un site commerçant, invitant son client à se rendre sur un site Internet afin d’y indiquer des éléments d’authentification ou de paiement. Un client non averti va donc se connecter sur le site indiqué, reprenant les éléments visuels du site légitime, et renseigner les éléments
demandés. Ces données sont ensuite stockées puis récupérées par le fraudeur.
Cette technique a certes un très faible taux d’adhésion (clients renseignant les données demandées) mais le très faible coût d’envoi de courriels en masse rend l’opération très lucrative. La complétude des données récupérées (numéro de carte, date expiration, cryp- togramme visuel, nom du porteur, numéro de client bancaire, date de naissance, numéro de téléphone...) peut même permettre de contourner certains systèmes d’authentification non-rejouable. Les authentifications fortes basées sur une date de naissance ou la réception de SMS sont ainsi tout particulièrement fragilisées, le fraudeur pouvant renseigner la date préalablement communiquée ou faire procéder au changement du numéro de téléphone portable du client (sur le site internet de la banque ou en contactant l’agence bancaire). Dans son rapport sur cette menace [37], le laboratoire de l’éditeur de logiciels anti-virus Kaspersky estime la progression du phénomène à +86% entre 2011/2012 et 2012/2013 pour finalement atteindre plus de 37 millions de victimes. Toujours d’après ce rapport, l’hameçonnage bancaire représente la majorité de cette fraude avec 20% des sites visés. L’analyse de l’évolution du spam d’origine criminelle réalisée par l’initiative française Signal Spam (figure 4.13) va dans le même sens avec une constante évolution de l’importance du
phishing par rapport au volume total de spam [59].
Figure4.13 – Evolution du spam d’origine criminelle - source : Signal Spam
4.4.1.2 Fraude par logiciel espion
Une seconde fraude visant également le poste client est la fraude par logiciel espion. Cette fraude ne s’appuie pas sur une technique d’ingénierie sociale comme la précédente mais sur un défaut de sécurisation de l’ordinateur ou du téléphone du client.
La technique sous-jacente s’appuie sur l’injection d’un logiciel malveillant dans l’ordinateur ou l’équipement mobile de la victime qui s’emploie à capturer les éléments d’authentifica- tion et de paiement lors de leur saisie (par captation des touches, enregistrement de l’écran,
enregistrement des flux...).
L’un des principaux avantages de cette technique consiste à infecter un équipement mobile. Dans un tel cas, les systèmes d’authentification non-rejouables basés sur SMS seront sans effet puisque le logiciel malveillant est en mesure d’intercepter le code transmis par SMS et d’en cacher l’arrivée au propriétaire du téléphone.
De nombreux logiciels espions de type bancaire sont référencés dont Anserin, Citmo ou encore Sinowal [7]. Si la plupart se contente de récupérer des identifiants de connexion aux sites de banque en ligne, certains récupèrent également les numéros de cartes de paiement frappés au clavier ou permettent de déjouer les paiements à authentification renforcée. Pour chacun d’entre eux, il est difficile d’en connaître le volume diffusé et le nombre de numéros de carte interceptés. La société de sécurité informatique RSA estime néanmoins que le
malware Sinowal aurait conduit à la compromission de 240000 cartes de paiement [9].
4.4.1.3 Fraude par force brute
Dans son rapport 2012 [50], l’OSCP confirme que les fraudes par force brute sont toujours d’actualité. Cette technique de fraude consiste à générer des numéros de cartes de paiement par« moulinage », et à essayer les différentes combinaisons possible de date d’expiration, voire de cryptogramme visuel, sur des sites marchands. Une fois qu’une combinaison acceptée a été obtenue, des achats plus importants peuvent être rapidement effectués par le fraudeur.
Cette fraude s’appuie essentiellement sur l’absence de détection et de contre-mesure au niveau des serveurs d’autorisation de la banque émettrice et peut donc cibler certains établissements bancaires plutôt que d’autres.
Si elle ne constitue pas une importante menace pour un émetteur correctement équipé, elle peut toutefois générer un bruit de fond qui pourrait profiter à d’autres fraudes.
4.4.2 Fraudes côté serveur
Le poste client n’est pas le seul à être visé par des attaques. Les serveurs de paiement, au cœur du système de traitement monétique, sont également pris pour cibles.
4.4.2.1 Fraude sur serveur commerçant
Certains commerçants ou fournisseurs de service n’utilisent pas les services des plateformes de paiement et se chargent eux-même de collecter et stocker les informations des cartes de paiement de leurs clients. Il leur incombe alors de mettre en œuvre les exigences de sécurité imposées par les normes en vigueur (voir 1.3.3).
Une attaque contre leurs serveurs constitue donc, pour les fraudeurs, un moyen d’obtenir un volume de cartes de paiement proportionnel à la fréquentation du site visé.
Ainsi l’attaque en 2011 contre les serveurs du réseau PlayStation de Sony aura permis le vol des données de l’ensemble des 77 millions d’utilisateurs dont 12,3 millions porteurs de numéros de carte de paiement [60]. Dans ce cas particulier, Sony déclare avoir mis en œuvre les exigences de PCI DSS en chiffrant les numéros de cartes conservées. Néanmoins c’est sur le délai de notification aux systèmes de paiement que Sony est critiqué car l’incident n’a été notifié que cinq jours après sa découverte alors que la quasi-totalité des systèmes de paiement exigent une notification immédiate [55].
4.4.2.2 Fraude sur serveur monétique
Les acquéreurs peuvent également faire l’objet d’attaques sur leurs systèmes d’information. Bien que particulièrement protégés, les serveurs d’acquisition sont une cible de choix pour les fraudeurs qui peuvent espérer compromettre un nombre important de cartes de paiement.
Ainsi l’une des plus importantes compromissions (en volume) a eu lieu en 2008, sur les serveurs de l’acquéreur américain Heartland Payment Systems.
Alerté par Visa et Mastercard début 2009, Heartland a identifié une intrusion sur ses systèmes remontant à fin 2007 et la mise en place d’un logiciel espion chargé d’exfiltrer les données de cartes véhiculées sur le réseau interne de l’acquéreur [66, 16].
L’attaque contre ses serveurs a conduit à la capture des données de 130 millions de cartes de paiement et au retrait temporaire de son agrément Visa [35].
Cet incident n’est pas isolé : l’acquéreur Global Payments Inc. a aussi fait l’objet d’une attaque sur son système d’information entre 2011 et mi-2012 ayant exposé 7 millions de cartes [38].