La fraude financière ne s’arrête pas
- Email |
- Imprimer |
- Commentaire (1) |
- Partager
Sommaire
- 1 – La fraude financière ne s’arrête pas
- 2 – Plus de contenu sur ce sujet
François Paget
François PAGET est l’un des membres fondateurs du groupe de recherche Avert au sein de McAfee. Il mène diverses études prospectives et fait de la veille technologique pour sa société et certains de ses clients. Il s’attache particulièrement aux divers aspects du crime organisé et de la fraude financière en ligne. Secrétaire général du Clusif, c'est un conférencier régulier lors des diverses manifestations françaises et internationales dans le domaine de la Sécurité Informatique.
La sécurité des transactions financières est un problème crucial pour l’internaute comme pour les organismes bancaires. En France, l’observatoire de la sécurité des cartes de paiement a édité en juillet son rapport annuel d’activité 2008. En augmentation, le taux de fraude sur les paiements et les retraits par carte enregistré en 2008 dans les systèmes français est de 0,069 %. La progression des montants de fraude (320 millions d’euros en 2008, soit une hausse supérieure à 19%) est plus importante que la croissance du montant des transactions (464 milliards d’euros en 2008, soit une hausse de 7,7 %).
Le principal risque concerne les paiements à distance. Représentant 6 % de la valeur des transactions nationales, ils comptent désormais pour 51 % du montant de la fraude. Tout mode de paiement confondu, l’augmentation entre 2007 et 2008 dépasse les 90%. Son taux est plus élevé pour les paiements via Internet que pour n’importe quel autre type de transaction à distance.
| Fraudes associées aux paiements à distance | 2006 | 2007 | 2008 | |
| Transactions nationales | Par courrier ou téléphone | 19,80 | 23,80 | 28,50 |
| Sur Internet | 13,40 | 26,40 | 38,80 | |
| Emetteur français, destinataire étranger | Par courrier ou téléphone | 5,70 | 7,60 | 11,20 |
| Sur Internet | 20,30 | 27,40 | 56 | |
Montant des fraudes (en million d’euros) – Source : Observatoire de la sécurité des cartes de paiement
Alors que le numéro de carte est dérobé depuis la France, le destinataire (c’est-à-dire l’escroc) se trouve, dans près de 2 cas sur 3, à l’étranger. Les secteurs voyage/transport (23%), commerce généraliste et semi-généraliste (15%) et téléphonie/communication (15%) représentent, à eux trois, plus de la moitié de la fraude.
Souvent mal protégé, le vol d’identité et de données personnelles et bancaires peut se produire depuis le PC familial de l’internaute. Alors que celui-ci dialogue avec un site bancaire ou commercial correctement sécurisé, la transaction est enregistrée en local puis transmise à un serveur distant. Ces détournements n’initient qu’une faible partie de la fraude. Le piratage de distributeurs automatiques de billets piratés (skimming) et le vol à grande échelle de bases de données à caractère commercial sont à l’origine d’une majorité des fraudes associées aux paiements à distance. Ce sont les résultats de ses escroqueries que l’on retrouve sur les nombreux sites proposant à la vente ce type de données (sites de carding).
Selon un récent rapport de l'ENISA (European Network and Information Security Agency), en 2008, le nombre de distributeurs automatiques de billets piratés aurait enregistré une croissance de 149% en Europe avec plus de 10000 incidents recensés. Des pertes estimées à 485 millions d'euros, soit une hausse de 11% par rapport à 2007. Au niveau mondial, plusieurs sources américaines annoncent une fraude atteignant 1,2 milliards de dollars par an.
L’autre mine d’informations pour les escrocs se situe dans les bases de données commerciales et bancaires. Tout le monde se rappelle l’affaire TJX en janvier 2007 ou 94 millions de données ont été dérobées (65 millions concernaient des comptes Visa, 29 millions des comptes MasterCard). En aout 2009, le cerveau présumé de l’opération était accusé du détournement de 130 autres million de données. En étudiant ces affaires, on constate que les escrocs n’ont eu aucun mal à réussir leurs coups. Avec TJX, ils ont écouté les réseaux wifi non sécurisés (sniffing), avec Heartland Payment Systems, ils ont monté une attaque du type « SQL infection » pour implanter un programme malveillant sur plusieurs machines sensibles.
Ces grosses affaires font la une des journaux, mais bien d’autres cas sont là pour démontrer que la sécurité des sites monétairement sensibles n’est souvent pas encore suffisante. Il y a quelques jours, j’ai découvert le blog d’un pirate roumain qui, jour après jour, se vante de ses exploits et présente les messages flatteurs que les administrateurs réseaux des banques lui retournent parfois. On citera parmi ses dernières victimes :
Voila quelques une de ses dernières victimes :
- ING Belgique (boutique cadeau de la banque) – 26 aout 2009
- Dexia Belgique - 1 septembre 2009
- HSBC France - 3 septembre 2009
- Poste Italienne - 5 septembre 2009
- Banque de Transylvanie - 10 septembre 2009
- RBS WorldPay - 10 septembre 2009
- Fastcart - 12 septembre 2009
Les personnes qui souhaitent aller plus loin sur le sujet peuvent consulter la récente étude que je viens de faire publier.
Les offres du moment
- SIEMENS INDUSTRY - MOBILITY - INGÉNIEUR SYSTÈME POSTE DE COMMANDE CENTRALISÉE (H/F)
- SIEMENS INDUSTRY - MOBILITY - INGENIEUR INTEGRATION ET VALIDATION LOGICIEL POUR LES EQUIPEMENTS VIDEO PHONIE (H/F)
- SIEMENS INDUSTRY - MOBILITY - CHEF DE PROJET INFORMATIQUE (H/F)
- SIEMENS IT SOLUTIONS & SERVICES - CONTRÔLEUR DE GESTION / GESTIONNAIRE DE PROJET (H/F)
- SIEMENS HEALTHCARE - WORKFLOW & SOLUTIONS - INGENIEUR DEVELOPPEMENT FRAMEWORK MUMPS (H/F)
comment ce proteger ??