Notre défense face au phishing
Voici quelques conseils à prendre en compte dans tes applis de services bancaires et sur ce que tu peux faire pour te protéger toi et ton argent. En résumé: chez neon, les fraudeurs auraient besoin de ton numéro de contrat, de ton code de connexion, de ton code PIN pour les virements et de ton smartphone activé pour voler de l’argent depuis ton compte. Nous leur rendons donc la tâche très difficile.
(D’ailleurs, si cela t’intéresse de savoir ce que sont l’authentification à deux facteurs et la garantie des dépôts, nous avons compilé ici des informations qui peuvent te servir. Et si tu as envie de savoir comment nous nous protégeons contre les hackers, tu peux lire ici notre rapport relatif à un test de pénétration.)
Dans cet article, nous t’expliquons ce qu’est le phishing: comment il fonctionne, ce que nous faisons et ce que tu peux faire pour t’en prémunir pour traverser ton quotidien sans souci.
Phishing ou hacking?
Lors d’un hacking (piratage), c’est toute la banque qui est attaquée. Cela permet aux pirates informatiques de voler des données à grande échelle. Selon la situation, un hacker pourrait alors tenter d’effectuer des versements. Il est très rare qu’un piratage fonctionne. Tu peux lire ici comment nous nous protégeons. Une attaque de phishing (hameçonnage) est en revanche beaucoup plus courante. Dans ce cas, l’utilisateur devient lui-même un fournisseur involontaire d’informations. Les fraudeurs utilisent un prétexte astucieux pour tenter d’obtenir tes données et ainsi accéder à ton compte.
Le déroulement d’une attaque de phishing
Dans toute attaque de phishing, les fraudeurs doivent d’abord découvrir qui est l’utilisateur du service et ensuite déjouer les mesures de sécurité (généralement une authentification à deux facteurs).
Création d’une liste d’utilisateurs
La première étape par laquelle passent les fraudeurs consiste à créer une liste des clients d’une banque. Ils peuvent par exemple se rabattre sur un «honeypot» («pot de miel»). Il s’agit de données qui ont été piratées depuis une base de données d’adresses (d’un vendeur, de Facebook, etc.).
Une autre possibilité est de profiter d’une fonction communautaire souvent proposée par les banques. Cette fonction t’indique quels sont tes contacts qui figurent également parmi les utilisateurs de ta banque – ce qui te sert à transférer ou demander de l’argent en quelques clics seulement. Le fait de générer des numéros de téléphone de manière aléatoire et de les importer dans le répertoire permet de créer une liste fiable de victimes potentielles.
Ce que nous faisons chez neon:
• Tes informations ne sont pas visibles si facilement. Chez neon, nous te demandons si tu souhaites accorder à l’appli l’accès à tes contacts et ainsi également être visible par les autres.
• Nous travaillons également sur une fonction double opt-in. Cela permet de n’être visible que si les deux personnes se trouvent chacune dans la liste de contacts de l’autre personne. Autrement dit, le fraudeur devrait alors figurer dans ta propre liste de contacts.
Ce que tu peux faire:
• Vérifie dans ton appli de services bancaires si elle offre une telle fonction et comment elle fonctionne. Dans certaines applis, ton nom est affiché sans que tu puisses donner ou non ton accord.
Interception d’une connexion client (premier facteur d’authentification)
Normalement, tu te connectes avec un numéro de contrat ou une adresse e-mail ainsi qu’un code de connexion. Le numéro de contrat ou l’adresse e-mail sont faciles à obtenir, car ils ne sont pas privés. La difficulté consiste à obtenir le code de connexion. C’est là que commence le véritable phishing. Le fait d’utiliser un prétexte (par exemple: «nous devons vérifier ton compte») permet d’inciter les clients à indiquer leurs données sur un faux site web. Pour ce faire, on envoie un SMS ou un e-mail avec l’adresse de la banque. Il est facile de falsifier cette adresse. Dans le cas de SMS par exemple, il est possible de définir son propre nom d’expéditeur grâce à différents services. Ton smartphone rassemble tous les SMS provenant du même nom d’expéditeur et suppose que le SMS provient en fait de ta banque.
Ce que nous faisons chez neon:
• Nous te rappelons toujours de choisir un code de connexion sûr. Les dates de naissance ou codes faciles à deviner simplifient la tâche des fraudeurs.
• Après trois tentatives de connexion infructueuses, nous bloquons ton compte. Pour débloquer ton compte, nous te contactons afin d’effectuer une procédure de vérification.
• Nous n’envoyons pas de SMS. Toutes les communications proviennent d’une adresse e-mail qui se termine par @neon-free.ch. Oui, des fraudeurs peuvent aussi le faire. C’est pourquoi nous te rappelons régulièrement de nous appeler en cas de doute.
• Il n’y a aucun espace sur notre site web où il est possible de se connecter. Et nous te le rappelons également.
Ce que tu peux faire:
• Ne saisis tes données neon que dans l’application neon. Jamais pour des «promotions», «concours» ou autres «achats tests». Ne les donne pas non plus par téléphone.
• Choisis un code sûr et n’utilise pas les mêmes codes pour les différents services.
Interception du deuxième facteur d’authentification
Normalement, un virement dans l’appli nécessite un code. On utilise couramment la liste TAN ou le TAN par SMS (m-TAN), qui sont cependant des méthodes plus anciennes et plus faciles à contourner. Un lecteur de cartes supplémentaire ou une appli supplémentaire sont sûrs, mais moins conviviaux. La variante la plus moderne rassemble tout en une seule application: l’appli est activée spécifiquement pour le smartphone lors de l’ouverture du compte et le client choisit son propre code de virement, qui ne fonctionne que sur son smartphone.
Ce que nous faisons chez neon:
• Le deuxième facteur d’identification est ton propre smartphone, qui est techniquement relié de manière sécurisée à ton compte (l’appli) au moment de l’ouverture de ton compte. Tu définis ensuite ton propre code PIN pour effectuer tes virements. Ce code PIN pour les virements ne fonctionne que sur ton propre smartphone. Un fraudeur devrait donc non seulement connaître ton code de connexion et ton code PIN pour les virements, mais aussi être en possession de ton smartphone.
Activation de paiement avec les deux facteurs
Si les fraudeurs parviennent quand même à intercepter toutes les données de connexion et les facteurs d’authentification, ils pourraient alors transférer de l’argent depuis ton compte. Chez neon, ils auraient encore besoin, comme mentionné, de ton smartphone activé.
Ce que nous faisons chez neon:
• Notre banque partenaire, la Banque hypothécaire de Lenzbourg, vérifie manuellement tous les paiements à l’étranger et les paiements nationaux d’une certaine hauteur. En cas de doute, nous te passons un bref appel pour vérifier le paiement.
Ce que tu peux faire:
• Contacte-nous directement si tu constates quelque chose d’inhabituel.
La sécurité absolue n’existe pas dans la vie. Mais nous faisons tout pour obtenir la solution la plus moderne et la meilleure dans ce domaine. Si tu fais également ta part, le risque que tu sois victime d’une attaque de phishing est négligeable.
Souhaites-tu en apprendre plus sur le thème de la sécurité?
Tu découvriras ici ce qu’est l’authentification à deux facteurs et comment fonctionne la garantie des dépôts.
Nous te racontons également ici comment nous avons simulé une attaque de hacker pour nous assurer que l’application neon est également parfaite à ce niveau-là.