Kredietverlening aan ondernemingen update februari 2015
La banque par internet en toute sécurité conférence de presse 13.06.2012
1. Sécurité de la banque par
internet, l’affaire de tous
Filip Dierckx, Président de Febelfin
Febelfin, 13 juin 2012
2. ORDRE DU JOUR
I. Statistiques
II.La fraude “multi-canaux” apparaît
III.
La sécurité, c'est l'affaire de tous
IV.En Belgique, la banque par internet fait l'objet :
• d’un site web www.safeinternetbanking.be
• d’une collaboration
V. Conclusion
Febelfin | 13 juin 2012 2
4. La banque par internet de plus en plus populaire
Nombre d’abonnements Nombre de sessions enregistrées
(en mio) (en mio)
500 460
9.0 8.1 425 432
450 401
8.0 7.4 383
6.6 400
7.0 350 309
5.7
6.0 300
4.6 221
5.0 250
3.8 179
4.0 3.0 200
3.0 2.4 150 108
1.8
2.0 100
1.0 50
0.0 0
2003 2004 2005 2006 2007 2008 2009 2010 2011 2003 2004 2005 2006 2007 2008 2009 2010 2011
La banque par internet, un moyen sûr, simple et rapide
de réaliser ses opérations bancaires
Febelfin | 13 juin 2012 4
5. La fraude représente 0,00006% du nombre de
sessions enregistrées
Nombre de fraudes Perte due à la fraude (en euro)
300 261 800,000 715,081
250 700,000
549,528
600,000
200 500,000
150 94 400,000
300,000 172,071 175,332
100 48 37 200,000 119,740
50 21
3 1 100,000 8,023 0
0 0
2006 2007 2008 2009 2010 2011 01 à 05 2006 2007 2008 2009 2010 2011 01 à 05
2012 2012
inclu inclu
Net
Brut (après
déduction des
fonds
récupérés)
Fraude liée à la banque par internet en Belgique :
• Pourcentage minime par rapport au nombre de sessions enregistrées
• Mineure par rapport aux Pays-Bas (7.500 cas / plus de 35 mio EURFebelfin 2011)
en | 13 juin 2012 5
6. II. La fraude “multi-canaux” apparaît
Febelfin | 13 juin 2012 6
7. Fraude via malware
Malware
= appellation générique qui désigne les logiciels malveillants qui ont un impact
sur l’utilisation normale des processus informatiques et qui, au cours d'une
session de banque par internet, peuvent par exemple :
• Faire apparaître un pop-up
(cf. communiqués de presse de Febelfin été 2011)
• Faire apparaître une page factice
• Exemple sur www.safeinternetbanking.be
• Bonne protection de l'ordinateur, comme un scanner anti-virus à jour
• Ne pas donner suite aux scénarios "anormaux"
Febelfin | 13 juin 2012 7
• En cas de doute, mettre un terme à l'opération et prendre contact avec la banque
8. Evolution vers une fraude "multi-canaux"
Contact
Malware en combinaison avec téléphonique
(forme d’ingéniérie
sociale)
= logiciel malveillant utilisé en combinaison avec une technique consistant pour
le fraudeur à se faire passer pour quelqu’un d’autre, à abuser des gens pour leur
soutirer des informations qu’il ne pourrait sinon obtenir
• Exemple :
L’ordinateur de Pierre n’était pas assez bien protégé et a été infecté par un “malware” qui
renseigne avec précision le fraudeur sur le moment où Pierre lance une session de banque par
internet. La session étant ouverte, Pierre reçoit un appel de quelqu’un se faisant passer pour un
collaborateur de la banque. Le message est le suivant : “Vous avez une session de banque par
internet en cours et pour des raisons de sécurité, vous devez me transmettre votre signature
électronique”. Sans méfiance, Pierre s’exécute. Ainsi, le fraudeur peut effectuer un faux virement.
• La banque n’appelle jamais le client pour lui demander des données personnelles
Febelfin | 13 juin 2012 8
et/ou une signature électronique !
9. Evolution vers une fraude "multicanaux"
Phishing en combinaison avec Contact
(forme téléphonique
d’ingéniérie sociale) (forme
d’ingéniérie sociale)
3.Contact
téléphonique pris
par les fraudeurs
avec le client afin de
2.Faux site internet lui faire effectuer des
de la “banque” avec manipulations avec
invitation à compléter la carte et le
les données lecteur de carte
suivantes : numéro
de carte, date de
naissance, code
1.Courriel de la postal et numéro de
“banque” signalant que téléphone
la banque installe de
nouveaux logiciels de
sécurisation &
demandant de cliquer
sur un lien.
• Voir aussi récemment phishing au niveau du SPF Finances
• La banque n’envoie jamais de courriel, ni ne téléphone pour obtenir des données 2012
Febelfin | 13 juin 9
personnnelles et/ou une signature électronique !
10. Recours croissant aux passeurs (mules) ou
money mules
• Passeurs (mules) ou money mules
= personnes qui servent d’intermédiaires à des organisations criminelles ou à
des malfaiteurs. Ils renvoient, généralement sans le savoir (mais pas
toujours), des fonds versés frauduleusement sur leur compte vers celui des
fraudeurs. Le détour par des intermédiaires rend plus difficile l’identification
du fraudeur.
• Messages ressemblant souvent à des offres d’emploi :
Febelfin | 13 juin 2012 10
12. 6 Belges sur 10 ne s'inquiètent guère de la
protection de leur ordinateur
• C’est ce qui ressort du Unisys Security Index, une enquête semestrielle
réalisée au niveau international et portant sur divers aspects de sécurité, dont
l’e-security.
Febelfin | 13 juin 2012 12
Source : Unisys Security Index
13. Sécuriser les opérations en ligne ? Pour plus de 6
Belges sur 10, c'est l'affaire des banques ou des
pouvoirs publics
• 67% des Belges estiment que la protection de leurs données personnelles et
la sécurité de leur opérations en ligne est l’affaire de leur banque ou des
pouvoirs publics (Unisys Security Index).
Source : Unisys Security Index
Febelfin | 13 juin 2012 13
14. "La sécurité, c'est l'affaire de tous"
Et de la
banque
Et du
client
Febelfin | 13 juin 2012 14
15. Sécurité, l'affaire de la banque
• Les banques belges prennent en permanence des mesures pour assurer
aux opérations bancaires en ligne une sécurité optimale :
• Site internet sécurisé
• L'adresse commence par https
• Cadenas fermé en bas
• Accès personnel aux données bancaires
• Clé unique – "two factor authentification" (something you have & something you know)
• Signature électronique
• Informations codées
• Les informations échangées entre l’ordinateur du client et celui de la banque sont transmises
sous forme codée.
• Interruption automatique de la session de banque par internet après quelques minutes
d'inactivité
• Monitoring et updating continus des systèmes
Febelfin | 13 juin 2012 15
16. Sécurité, aussi l'affaire du consommateur
• Protection de l’ordinateur
• Installez les logiciels de sécurisation nécessaires comme
des programmes antivirus, des firewalls, des
filtres à spams et des programmes anti-malware
• Vigilance du client durant l'exécution de la session de banque par internet
• Ne donnez de signature électronique que pour des ordres attendus ou demandés
• Utilisez votre signature correcte pour tous les ordres
En cas de doute, stoppez immédiatement l'opération en cours et contactez la banque,
surtout si le scénario de signature diffère du scénario habituel. Le client peut trouver sur
le site de la banque les coordonnées du point de contact et les directives de sécurité.
• NE PAS donner suite à des courriels ou des contacts téléphoniques dans le cadre desquels des
données personnelles et/ou une signature électronique sont demandées!
La banque ne demande les données personnelles et/ou une signature électronique ni par
téléphone, ni par voie électronique.
• Assurer la sécurité des sessions de banque par internet
• Par ex. ne pas surfer sur d’autres sites internet pendant une session de banque par internet, éviter
d'utiliser des ordinateurs publics, vérifier que l'adresse commence bien par https://, …
• Traiter les codes et mots de passe en toute confidentialité
• Contrôler régulièrement ses extraits de compte
Febelfin | 13 juin 2012 16
17. Sécurité, aussi l'affaire de l'utilisateur professionnel
• Communiqué de presse de Febelfin et Isabel à la mi-mai 2012
• Points d’attention pour les entreprises qui utilisent une solution professionnelle
pour leurs paiements (comme Isabel ou solution de la banque) :
• Veillez à bien sécuriser votre ordinateur, par ex. au moyen d’un
scanner anti-virus à jour.
• Retirez toujours la carte du lecteur de carte une fois que vous
avez apposé votre signature, et fermez correctement, dès après
utilisation, l'application Isabel au moyen du bouton “Log-out".
• Prenez immédiatement contact avec Isabel ou votre banque si vous
constatez une transaction douteuse.
Febelfin | 13 juin 2012 17
18. IV. En Belgique, la banque par internet fait
l'objet :
- d’un site internet
- d’une collaboration
Febelfin | 13 juin 2012 18
20. Collaboration concernant la banque par internet
en Belgique
Federal
Computer
Crime Unit
Banque
Nationale
Febelfin
de
Belgique
Febelfin | 13 juin 2012 20
22. Conclusion
• La banque par internet est un moyen sûr, rapide et simple de réaliser des
opérations bancaires
• La sécurité, c'est l'affaire de tous
• Et de la banque
• Et du client
• Bonne protection de l'ordinateur, par ex. via un scanner anti-virus à jour
• Vigilance suffisante durant la session de banque par internet et ne pas donner
suite aux scénarios "anormaux"
• Ne pas donner suite aux contacts téléphoniques et aux courriels dans lesquels
des données personnelles et/ou une signature électronique sont demandées
• En cas de doute, mettre immédiatement un terme à l'opération et prendre
contact avec la banque
Febelfin | 13 juin 2012 22
La banque par internet devient de plus en plus populaire. Cette popularité tient à ses nombreux avantages : la banque par internet est simple, rapide et sûre.En ce qui concerne le nombre des abonnements, nous constatons qu'il a quasiment doublé ces cinq dernières années. En 2007, on comptait en effet 4,6 millions d'abonnements; fin 2011, on dénombrait déjà plus de 8 millions d'abonnements.Les 8 millions d'abonnés représentent ensemble 460 millions de sessions enregistrées.
Compte tenu de la popularité et du succès de la banque par internet, il n'est dès lors pas étonnant que le nombre de cas de fraude augmente.Au cours des cinq premiers mois de 2012, on a constaté 261 cas de fraude. Les fraudes représentent un très faible pourcentage (0,00006%) du nombre de sessions mais ces cas montrent que les banques comme les clients ont intérêt à faire preuve d'un maximum de vigilance pour éviter la fraude.Le total net de la fraude au cours des cinq premiers de 2012 était de 715.081 EUR.Vous constaterez que pour les années 2006 à 2011 comprise, nous évoquons des montants bruts. Depuis le début de cette année, nous sommes passés à des chiffres nets (c'est-à-dire le montant net de la fraude après récupération). Différentes raisons expliquent cette évolution : la fraude nette peut être mieux définie que la fraude brute;ces chiffres sont utilisables dans le cadre des rapports sur les fraudes;il est plus facile de comparer ces chiffres avec les (quelques) chiffres disponibles dans d'autres pays qui établissent aussi des rapports sur la base de données nettes.Si nous mettons ces chiffres en parallèle avec ceux de nos voisins du Nord, nous constatons que la fraude liée à la banque par internet est encore timide en Belgique : aux Pays-Bas, ce sont 7.500 cas qui ont été enregistrés pour un montant total de 35 mio EUR net. (ps pour information : les fraudes liée à la banque par internet aux Pays-Bas sont surtout réalisées par le biais de logiciels malveillants et de phishing (= hameçonnage), combinés à un contact téléphonique).
Malwares "classiques"Appellation générique qui désigne les logiciels malveillants (malicious software) qui ont un impact sur l’utilisation normale des processus informatiques de sorte qu'au cours d'une session de banque par internet, un pop-up apparaît par exemple (cf. communiqués de presse de Febelfin à ce sujet en août & septembre 2011). Via un pop-up (une fenêtre qui s’ouvre à l’écran), le consommateur est soudainement invité durant sa session de banque par internet à introduire ou à répéter certains codes, voire à apposer sa signature électronique. Souvent sous le prétexte d'un contrôle de sécurité supplémentaire ou d'une opération spéciale présentant un caractère urgent. S'il répond à cette invitation, le consommateur se retrouve à signer, sans s'en douter, un virement frauduleux. Il est donc essentiel que le consommateur n'appose sa signature électronique que sur un ordre ou pour une opération qu'il attend ou a lui-même demandé(e).On assiste aujourd'hui plutôt à un glissement vers l'utilisation d'une page de site factice (il ne s'agit donc plus tant d'un pop-up qui apparaît de manière inhabituelle ou à un moment inattendu).Pour employer une métaphore :Comparons la sécurité informatique à celle de votre maison. Personne ne laisse sa porte de façade grande ouverte pour laisser les voleurs entrer. Il en va de même de l'ordinateur (cf. il faut les protéger convenablement pour empêcher l'intrusion de "virus").
II. Le logiciel classique combiné à une forme d'"ingiénérie sociale" comme le contact téléphonique a/Malware : logiciels malveillants qui s'installent sur l'ordinateur du client en raison de la faiblesse de sa protection.b/Parfois le malware n'est pas suffisant et le fraudeur recourt à l'"ingéniérie sociale" : Il s’agit d’une technique qui consiste pour le fraudeur à se faire passer pour quelqu'un d'autre – en l'occurrence la banque – et qui tâche d'ainsi abuser des gens - souvent sous prétexte d'un contrôle de sécurité. L'ingéniérie sociale peut prendre différentes formes : la plus fréquente est le contact téléphonique.
III. Une combinaison de deux formes d'"ingéniérie sociale" : le courriel de phishing& le contact téléphoniqueExemple de Belfius (ils ont eux-mêmes rendu le cas public par communiqué de presse en mars 2012)Il s'agit en l'occurrence d'une fraude en trois étapes :1/ Les clients reçoivent un courriel avec un message les avertissant que la banque va installer de nouveaux logiciels de sécurisation. Dans ce courriel, il leur est demandé de cliquer sur un lien afin de confirmer certaines données;2/ Lorsqu'ils cliquent sur ce lien, ils atterrissent sur un faux site internet où on leur demande leur numéro de carte de débit, leur date de naissance, leur code postal et leur numéro de téléphone;3/ Les fraudeurs cherchent ainsi à prendre connaissance du numéro de téléphone. Une fois qu'ils l'ont, ils appellent le client pour lui faire effectuer certaines manipulations avec la carte et le lecteur de carte.----Le secteur bancaire n'est pas le seul à être confronté aux courriels de phishing. On se souviendra dans ce contexte du récent cas de phishingdont a été victime le SPF Finances en avril dernier (il s'agissait d'un courriel demandant les données des cartes de crédit) Luc Beierens commentera ce cas plus en détail.
(Ce transparent ne concerne pas le message principal; il vise seulement à attirer l'attention sur le fait que des gens sont "recrutés", souvent sous le couvert d'annonces pour des emplois, afin de faire office de passeurs)
(Pour info : deux transparents de cette étude ont été glissés dans la présentation pour montrer que de nombreux Belges ne s'inquiètent guère de la sécurité informatique, et plus encore qu'ils estiment que c'est aux pouvoirs publics et aux banques qu'il appartient d'y veiller.)
Les précédents transparents montrent que de nombreux Belges (plus de 6 sur 10) ne se préoccupent guère des questions de sécurité informatique. Ils estiment en outre que ce sont les pouvoirs publics et les banques qui devraient veiller à cette sécurité.CEPENDANT : La sécurité, c'est l'affaire de tous Et de la banqueEt du client Tout au long de l’année, les banques prennent des mesures pour garantir la sécurité des systèmes de banque par internet. La sécurité de ce système ne peut toutefois être assurée que moyennant une collaboration avec le client.
Les banques prennent en permanence des mesures pour assurer aux opérations de banque par internet une sécurité optimale. En voici un aperçu.
La sécurité ne peut être garantie qu'en collaboration avec le consommateur. Dans ce cadre, voici une série de conseils à respecter par le consommateur lorsqu'il effectue des opérations de banque par internet.
La sécurité n’est pas seulement l’affaire du consommateur "particulier" mais aussi celle des entreprises/des utilisateurs professionnels.Febelfin et Isabel ont récemment publié un message à ce sujet (cf. communiqué de presse conjoint du 23 mai dernier) à l'occasion de cas de fraude observés au niveau d'entreprises qui utilisent la solution Isabel pour effectuer leurs opérations de paiement.Il s'agissait en l'occurrence concrètement de 8 cas de fraude pour un montant d'environ 200.000 EUR.L'enquête a montré que la fraude avait été rendue possible par le fait, d'une part, que les ordinateurs des entreprises n'étaient pas suffisamment protégés et avaient été infectés par des logiciels malveillants et, d'autre part, par le fait que la carte Isabel avaient été abandonnée dans le lecteur de carte Isabel. C'est pourquoi il est utile de souligner que les entreprises doivent elles aussi se montrer vigilantes et c'est aussi pourquoi nous rappelons une fois encore les conseils de prudence.
La sécurité de la banque par internet est un point d’attention pour le secteur financier belge:Nous avons mis du temps et de l'énergie dans le développement d'un site internet www.safeinternetbanking.be. Et la banque par internet fait aussi l'objet d'une concertation unique.
Le site internet www.safeinternetbanking.be existe depuis le 1er décembre 2011 (soit environ un semestre). Sur ce site, vous pouvez notamment lire/retrouver ce qui suit : les dernières statistiques disponibles sur la banque par internet, des articles de presse récents sur la criminalité par internet,une série d'aspects pratiques et notamment aussi un lexique clarifiant une série de notions. (etc.).Outre tous ces éléments, trois rubriques sont particulièrement intéressantes :I.“Le criminel à l'oeuvre” : cette rubrique illustre les techniques que les fraudeurs peuvent utiliser pour s'emparer de l'argent sur votre compte ou encore s'approprier votre identité. Elle commente les techniques de fraude suivantes : 1/ ingéniérie sociale; 2/ logiciels malveillants; 3/ mules; 4/ phishing; 5/ usurpation d’identité. Trois des cinq techniques de fraude sont également illustrées par un petit film. Outre le petit film sur les "logiciels malveillants" que nous avons vu tout à l'heure, vous pourrez aussi visionner un court film sur l'"ingéniérie sociale" et " le phishing".II. "Sécurité, l'affaire de ma banque ?" un aperçu des mesures que la banque prend pour assurer la sécurité des opérations de banque par internet.III. "Sécurité, aussi mon affaire ?« Une série de conseils pour le consommateur. Cf. La sécurité, c'est l'affaire de TOUS, et de la banque, et du client. Tout au long de l’année, les banques prennent des mesures pour garantir la sécurité des systèmes de banque par internet. La sécurité de ce système ne peut toutefois être garantie que moyennant une collaboration avec le client.
La banque par internet fait l'objet en Belgique d'une concertation unique entre la Federal Computer Crime Unit de la police judiciaire, la Banque Nationale de Belgique et les banques et Febelfin. Durant sa présentation, Luc Beirens reviendra sur cette collaboration et expliquera les bénéfices qui en ont été retirés.