Actualités juridiques et digitales

Cyberattaques sur mobiles : les banques et leurs clients ciblés

Rédigé par Stéphane ASTIER | Dec 12, 2019 7:38:02 AM

Par Stéphane Astier

Les acteurs du secteur bancaire, particulièrement exposés à la cyber délinquance, consacrent chaque année plusieurs millions d’euros à la sécurité informatique. Ces investissements augmentent de manière substantielle afin de faire front contre le déploiement par les hackers de moyens de plus en plus sophistiqués pour déployer leurs attaques d’envergure mondiale.

1. Des attaques utilisant les mobiles et les applications bancaires

1.1. Quel procédé ?

Une fraude en plein essor s’abat depuis quelques mois sur les utilisateurs des applications mobiles bancaires. Cette technique consiste à contaminer les terminaux mobiles des clients via un malware invisible. Dans un premier temps, le hacker adresse un SMS au client de l’application contenant un lien qui permet l’installation du cheval de Troie. Grâce au malware, le hacker obtient dans un deuxième temps les identifiants, mots de passe et autres informations personnelles de l’utilisateur. Il accède dans un troisième temps aux comptes bancaires du client piraté pour effectuer des virements à son profit ou revendre les informations captées sur le Dark Net.

1.2. Quelle réponse des banques ?

Cette technique analogue aux cas de hameçonnage ou« phishing » régulièrement mis en œuvre via internet n’est pas restée sans réponse de la part des banques.

Ces dernières ont ainsi développé des dispositifs de protection basés sur l’intelligence artificielle (IA) qui analyse le comportement de leurs clients afin d’identifier leurs habitudes (canaux et fonctions utilisés habituellement par exemple). Lorsqu’un comportement opéré sur le compte diffère du profile effectué par l’IA, cela génère une alarme qui permet alors à la banque de contacter son client pour vérifier s’il s’agit ou non d’une opération frauduleuse.

1.3. Quelles contraintes légales ?

Utilisation d’une IA, profilage des comportements des clients à des fins de luttes contre la fraude, etc. ce type de dispositif devra être mis en œuvre dans le cadre de contraintes légales particulièrement strictes notamment au regard du Règlement Général Européen sur la Protection des Données (RGPD) dès lors que des données personnelles sont concernées. L’information des clients, la réalisation d’une analyse d’impact (PIA) ou encore la sollicitation du Délégué à la Protection des Données (DPO) dès le moment de la conception de ce type de traitement seront des points essentiels pour assurer la conformité juridique de tels dispositifs.

1.4. Quelles conséquences pour les clients ? 

Il appartiendra aux clients informés de la fraude de modifier sans délai leurs mots de passe et identifiants, de porter plainte et de solliciter le remboursement des transactions frauduleuses auprès de leurs banques.

Notons ici que les banques pourraient être attentives à l’application de l’article L133-16 du Code monétaire et financier qui dispose : « Dès qu'il reçoit un instrument de paiement, l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. »

En effet, dans un arrêt du 25 octobre 2017, la Chambre commerciale de la Cour de Cassation invoquait la nécessaire recherche de la négligence du consommateur pour trancher les contestations de remboursement en cas de phishing. Dans ce type de sinistre, l’appréciation du caractère raisonnable ou non des mesures de sécurité prises par le consommateur, le fait de savoir si ce dernier pouvait ou non suspecter la fraude ou, en tout état de cause se devait de refuser de communiquer ses informations bancaires par mail relèvera du pouvoir d’appréciation des juges du fond. L’analyse se fera donc au cas par cas et pourra s’appuyer sur une appréciation du niveau de sophistication de la fraude ou encore du degré de sensibilisation du consommateur…

Les banques auront ainsi tout intérêt à accroître leurs efforts de sensibilisation de leurs clients aux cyber risques. Campagnes d’information, mentions contractuelles avec mise en avant des bons usages, publications régulières, envois de courriels et/ou courriers dédiés à la prévention des risques etc., tous les moyens devront utilement être envisagés.

2. D’autres types d’attaques à anticiper

Au-delà des attaques visant les mobiles et applications bancaires, le secteur est également touché par un autre type d’attaque qui vise cette fois les Distributeurs Automatiques de Billets (DAB). On parle ici de « jackpotting ».

Dans ce cas de figure, l’attaque est à la fois physique et numérique : une équipe force un DAB physiquement pour connecter un ordinateur au système d’information du distributeur et en prendre le contrôle. Le hacker utilise ensuite le DAB pour éjecter les billets. Le renforcement de la sécurité des DAB suite à des vagues d’attaques intervenues ces deux dernières années tant à juguler cette pratique.

Plus généralement, le secteur bancaire demeure naturellement exposé au même titre que tout autre secteur aux failles de sécurité dites classiques. Tout systèmes de sécurité, aussi robuste soit-il, peut en effet donner lieu à des tentatives de contournement avec des portes d’entrée cherchées par les hackers que ce soit du côté des clients (ex. phishing), du côté des salariés (ex. ingénierie sociale), ou encore des fournisseurs sous-traitants etc. On parle alors d’attaques par rebond récemment identifiées par l’ANSSI comme une source d’inquiétude importante.

Pour se prémunir contre de telles menaces, les banques devront poursuivre leurs efforts en matière de dispositifs anti-fraude qui engloberont nécessairement des outils techniques (ex. IA mises au service de la détection de fraude comme évoqué plus haut) mais également des outils juridiques, organisationnels et de communication participant à la prévention des risques. Contractualisation avec les sous-traitants pour disposer des garanties de sécurité adéquates, négociation d’une police d’assurance intégrant le risque cyber, déploiement d’un référentiel sécurité complet en coordination avec le Responsable de la Sécurité des Systèmes d’Information (RSSI) et le DPO, campagne d’information et de sensibilisation au risque cyber auprès des clients… sont autant d’exemples d’actions essentielles à mettre en œuvre pour renforcer sa position vis-à-vis du risque cyber.

 

*****

 

Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans la gestion préventive du risque cyber ainsi que dans les réponses juridiques à apporter en cas de sinistres. Si vous souhaitez avoir plus d’information sur les mesures nécessaires à mettre en place, Contactez-nous ici