Sécurité de la banque parinternet, l’affaire de tousFilip Dierckx, Président de FebelfinFebelfin, 13 juin 2012
ORDRE DU JOURI. StatistiquesII.La fraude “multi-canaux” apparaîtIII.   La sécurité, cest laffaire de tousIV.En Belgique, l...
I. Statistiques                  Febelfin | 13 juin 2012   3
La banque par internet de plus en plus populaire             Nombre d’abonnements                               Nombre de ...
La fraude représente 0,00006% du nombre de sessions enregistrées             Nombre de fraudes                            ...
II. La fraude “multi-canaux” apparaît                                    Febelfin | 13 juin 2012   6
Fraude via malware  Malware  = appellation générique qui désigne les logiciels malveillants qui ont un impact  sur l’utili...
Evolution vers une fraude "multi-canaux"                                                       Contact  Malware         en...
Evolution vers une fraude "multicanaux"     Phishing               en combinaison avec                         Contact    ...
Recours croissant aux passeurs (mules) oumoney mules• Passeurs (mules) ou money mules  = personnes qui servent d’intermédi...
III. "La sécurité, cest laffaire de tous"                                         Febelfin | 13 juin 2012   11
6 Belges sur 10 ne sinquiètent guère de laprotection de leur ordinateur• C’est ce qui ressort du Unisys Security Index, un...
Sécuriser les opérations en ligne ? Pour plus de 6Belges sur 10, cest laffaire des banques ou despouvoirs publics• 67% des...
"La sécurité, cest laffaire de tous"       Et de la       banque                      Et du                      client   ...
Sécurité, laffaire de la banque• Les banques belges prennent en permanence des mesures pour assurer  aux opérations bancai...
Sécurité, aussi laffaire du consommateur•    Protection de l’ordinateur    • Installez les logiciels de sécurisation néces...
Sécurité, aussi laffaire de lutilisateur professionnel• Communiqué de presse de Febelfin et Isabel à la mi-mai 2012• Point...
IV. En Belgique, la banque par internet fait  lobjet :  - d’un site internet  - d’une collaboration                       ...
Febelfin | 13 juin 2012   19
Collaboration concernant la banque par interneten Belgique                     Federal                    Computer        ...
V. Conclusion                Febelfin | 13 juin 2012   21
Conclusion• La banque par internet est un moyen sûr, rapide et simple de réaliser des  opérations bancaires• La sécurité, ...
www.febelfin.be
Prochain SlideShare
Chargement dans…5
×

La banque par internet en toute sécurité conférence de presse 13.06.2012

1 060 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 060
Sur SlideShare
0
Issues des intégrations
0
Intégrations
251
Actions
Partages
0
Téléchargements
11
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • La banque par internet devient de plus en plus populaire. Cette popularité tient à ses nombreux avantages : la banque par internet est simple, rapide et sûre.En ce qui concerne le nombre des abonnements, nous constatons qu'il a quasiment doublé ces cinq dernières années. En 2007, on comptait en effet 4,6 millions d'abonnements; fin 2011, on dénombrait déjà plus de 8 millions d'abonnements.Les 8 millions d'abonnés représentent ensemble 460 millions de sessions enregistrées.
  • Compte tenu de la popularité et du succès de la banque par internet, il n'est dès lors pas étonnant que le nombre de cas de fraude augmente.Au cours des cinq premiers mois de 2012, on a constaté 261 cas de fraude. Les fraudes représentent un très faible pourcentage (0,00006%) du nombre de sessions mais ces cas montrent que les banques comme les clients ont intérêt à faire preuve d'un maximum de vigilance pour éviter la fraude.Le total net de la fraude au cours des cinq premiers de 2012 était de 715.081 EUR.Vous constaterez que pour les années 2006 à 2011 comprise, nous évoquons des montants bruts. Depuis le début de cette année, nous sommes passés à des chiffres nets (c'est-à-dire le montant net de la fraude après récupération). Différentes raisons expliquent cette évolution : la fraude nette peut être mieux définie que la fraude brute;ces chiffres sont utilisables dans le cadre des rapports sur les fraudes;il est plus facile de comparer ces chiffres avec les (quelques) chiffres disponibles dans d'autres pays qui établissent aussi des rapports sur la base de données nettes.Si nous mettons ces chiffres en parallèle avec ceux de nos voisins du Nord, nous constatons que la fraude liée à la banque par internet est encore timide en Belgique : aux Pays-Bas, ce sont 7.500 cas qui ont été enregistrés pour un montant total de 35 mio EUR net. (ps pour information : les fraudes liée à la banque par internet aux Pays-Bas sont surtout réalisées par le biais de logiciels malveillants et de phishing (= hameçonnage), combinés à un contact téléphonique).
  • Malwares "classiques"Appellation générique qui désigne les logiciels malveillants (malicious software) qui ont un impact sur l’utilisation normale des processus informatiques de sorte qu'au cours d'une session de banque par internet, un pop-up apparaît par exemple (cf. communiqués de presse de Febelfin à ce sujet en août & septembre 2011). Via un pop-up (une fenêtre qui s’ouvre à l’écran), le consommateur est soudainement invité durant sa session de banque par internet à introduire ou à répéter certains codes, voire à apposer sa signature électronique. Souvent sous le prétexte d'un contrôle de sécurité supplémentaire ou d'une opération spéciale présentant un caractère urgent. S'il répond à cette invitation, le consommateur se retrouve à signer, sans s'en douter, un virement frauduleux. Il est donc essentiel que le consommateur n'appose sa signature électronique que sur un ordre ou pour une opération qu'il attend ou a lui-même demandé(e).On assiste aujourd'hui plutôt à un glissement vers l'utilisation d'une page de site factice (il ne s'agit donc plus tant d'un pop-up qui apparaît de manière inhabituelle ou à un moment inattendu).Pour employer une métaphore :Comparons la sécurité informatique à celle de votre maison. Personne ne laisse sa porte de façade grande ouverte pour laisser les voleurs entrer. Il en va de même de l'ordinateur (cf. il faut les protéger convenablement pour empêcher l'intrusion de "virus").
  • II. Le logiciel classique combiné à une forme d'"ingiénérie sociale" comme le contact téléphonique a/Malware : logiciels malveillants qui s'installent sur l'ordinateur du client en raison de la faiblesse de sa protection.b/Parfois le malware n'est pas suffisant et le fraudeur recourt à l'"ingéniérie sociale" : Il s’agit d’une technique qui consiste pour le fraudeur à se faire passer pour quelqu'un d'autre – en l'occurrence la banque – et qui tâche d'ainsi abuser des gens - souvent sous prétexte d'un contrôle de sécurité. L'ingéniérie sociale peut prendre différentes formes : la plus fréquente est le contact téléphonique.
  • III. Une combinaison de deux formes d'"ingéniérie sociale" : le courriel de phishing& le contact téléphoniqueExemple de Belfius (ils ont eux-mêmes rendu le cas public par communiqué de presse en mars 2012)Il s'agit en l'occurrence d'une fraude en trois étapes :1/ Les clients reçoivent un courriel avec un message les avertissant que la banque va installer de nouveaux logiciels de sécurisation. Dans ce courriel, il leur est demandé de cliquer sur un lien afin de confirmer certaines données;2/ Lorsqu'ils cliquent sur ce lien, ils atterrissent sur un faux site internet où on leur demande leur numéro de carte de débit, leur date de naissance, leur code postal et leur numéro de téléphone;3/ Les fraudeurs cherchent ainsi à prendre connaissance du numéro de téléphone. Une fois qu'ils l'ont, ils appellent le client pour lui faire effectuer certaines manipulations avec la carte et le lecteur de carte.----Le secteur bancaire n'est pas le seul à être confronté aux courriels de phishing. On se souviendra dans ce contexte du récent cas de phishingdont a été victime le SPF Finances en avril dernier (il s'agissait d'un courriel demandant les données des cartes de crédit) Luc Beierens commentera ce cas plus en détail.
  • (Ce transparent ne concerne pas le message principal; il vise seulement à attirer l'attention sur le fait que des gens sont "recrutés", souvent sous le couvert d'annonces pour des emplois, afin de faire office de passeurs)
  • (Pour info : deux transparents de cette étude ont été glissés dans la présentation pour montrer que de nombreux Belges ne s'inquiètent guère de la sécurité informatique, et plus encore qu'ils estiment que c'est aux pouvoirs publics et aux banques qu'il appartient d'y veiller.)
  • Les précédents transparents montrent que de nombreux Belges (plus de 6 sur 10) ne se préoccupent guère des questions de sécurité informatique. Ils estiment en outre que ce sont les pouvoirs publics et les banques qui devraient veiller à cette sécurité.CEPENDANT : La sécurité, c'est l'affaire de tous Et de la banqueEt du client Tout au long de l’année, les banques prennent des mesures pour garantir la sécurité des systèmes de banque par internet. La sécurité de ce système ne peut toutefois être assurée que moyennant une collaboration avec le client.
  • Les banques prennent en permanence des mesures pour assurer aux opérations de banque par internet une sécurité optimale. En voici un aperçu.
  • La sécurité ne peut être garantie qu'en collaboration avec le consommateur. Dans ce cadre, voici une série de conseils à respecter par le consommateur lorsqu'il effectue des opérations de banque par internet.
  • La sécurité n’est pas seulement l’affaire du consommateur "particulier" mais aussi celle des entreprises/des utilisateurs professionnels.Febelfin et Isabel ont récemment publié un message à ce sujet (cf. communiqué de presse conjoint du 23 mai dernier) à l'occasion de cas de fraude observés au niveau d'entreprises qui utilisent la solution Isabel pour effectuer leurs opérations de paiement.Il s'agissait en l'occurrence concrètement de 8 cas de fraude pour un montant d'environ 200.000 EUR.L'enquête a montré que la fraude avait été rendue possible par le fait, d'une part, que les ordinateurs des entreprises n'étaient pas suffisamment protégés et avaient été infectés par des logiciels malveillants et, d'autre part, par le fait que la carte Isabel avaient été abandonnée dans le lecteur de carte Isabel.  C'est pourquoi il est utile de souligner que les entreprises doivent elles aussi se montrer vigilantes et c'est aussi pourquoi nous rappelons une fois encore les conseils de prudence.
  • La sécurité de la banque par internet est un point d’attention pour le secteur financier belge:Nous avons mis du temps et de l'énergie dans le développement d'un site internet www.safeinternetbanking.be. Et la banque par internet fait aussi l'objet d'une concertation unique.
  • Le site internet www.safeinternetbanking.be existe depuis le 1er décembre 2011 (soit environ un semestre). Sur ce site, vous pouvez notamment lire/retrouver ce qui suit : les dernières statistiques disponibles sur la banque par internet, des articles de presse récents sur la criminalité par internet,une série d'aspects pratiques et notamment aussi un lexique clarifiant une série de notions. (etc.).Outre tous ces éléments, trois rubriques sont particulièrement intéressantes :I.“Le criminel à l'oeuvre” : cette rubrique illustre les techniques que les fraudeurs peuvent utiliser pour s'emparer de l'argent sur votre compte ou encore s'approprier votre identité. Elle commente les techniques de fraude suivantes : 1/ ingéniérie sociale; 2/ logiciels malveillants; 3/ mules; 4/ phishing; 5/ usurpation d’identité. Trois des cinq techniques de fraude sont également illustrées par un petit film. Outre le petit film sur les "logiciels malveillants" que nous avons vu tout à l'heure, vous pourrez aussi visionner un court film sur l'"ingéniérie sociale" et " le phishing".II. "Sécurité, l'affaire de ma banque ?" un aperçu des mesures que la banque prend pour assurer la sécurité des opérations de banque par internet.III. "Sécurité, aussi mon affaire ?«   Une série de conseils pour le consommateur. Cf. La sécurité, c'est l'affaire de TOUS, et de la banque, et du client. Tout au long de l’année, les banques prennent des mesures pour garantir la sécurité des systèmes de banque par internet. La sécurité de ce système ne peut toutefois être garantie que moyennant une collaboration avec le client.
  • La banque par internet fait l'objet en Belgique d'une concertation unique entre la Federal Computer Crime Unit de la police judiciaire, la Banque Nationale de Belgique et les banques et Febelfin. Durant sa présentation, Luc Beirens reviendra sur cette collaboration et expliquera les bénéfices qui en ont été retirés.
  • La banque par internet en toute sécurité conférence de presse 13.06.2012

    1. 1. Sécurité de la banque parinternet, l’affaire de tousFilip Dierckx, Président de FebelfinFebelfin, 13 juin 2012
    2. 2. ORDRE DU JOURI. StatistiquesII.La fraude “multi-canaux” apparaîtIII. La sécurité, cest laffaire de tousIV.En Belgique, la banque par internet fait lobjet : • d’un site web www.safeinternetbanking.be • d’une collaborationV. Conclusion Febelfin | 13 juin 2012 2
    3. 3. I. Statistiques Febelfin | 13 juin 2012 3
    4. 4. La banque par internet de plus en plus populaire Nombre d’abonnements Nombre de sessions enregistrées (en mio) (en mio) 500 4609.0 8.1 425 432 450 4018.0 7.4 383 6.6 4007.0 350 309 5.76.0 300 4.6 2215.0 250 3.8 1794.0 3.0 2003.0 2.4 150 108 1.82.0 1001.0 500.0 0 2003 2004 2005 2006 2007 2008 2009 2010 2011 2003 2004 2005 2006 2007 2008 2009 2010 2011 La banque par internet, un moyen sûr, simple et rapide de réaliser ses opérations bancaires Febelfin | 13 juin 2012 4
    5. 5. La fraude représente 0,00006% du nombre de sessions enregistrées Nombre de fraudes Perte due à la fraude (en euro)300 261 800,000 715,081250 700,000 549,528 600,000200 500,000150 94 400,000 300,000 172,071 175,332100 48 37 200,000 119,740 50 21 3 1 100,000 8,023 0 0 0 2006 2007 2008 2009 2010 2011 01 à 05 2006 2007 2008 2009 2010 2011 01 à 05 2012 2012 inclu inclu Net Brut (après déduction des fonds récupérés)Fraude liée à la banque par internet en Belgique :• Pourcentage minime par rapport au nombre de sessions enregistrées• Mineure par rapport aux Pays-Bas (7.500 cas / plus de 35 mio EURFebelfin 2011) en | 13 juin 2012 5
    6. 6. II. La fraude “multi-canaux” apparaît Febelfin | 13 juin 2012 6
    7. 7. Fraude via malware Malware = appellation générique qui désigne les logiciels malveillants qui ont un impact sur l’utilisation normale des processus informatiques et qui, au cours dune session de banque par internet, peuvent par exemple : • Faire apparaître un pop-up (cf. communiqués de presse de Febelfin été 2011) • Faire apparaître une page factice • Exemple sur www.safeinternetbanking.be• Bonne protection de lordinateur, comme un scanner anti-virus à jour• Ne pas donner suite aux scénarios "anormaux" Febelfin | 13 juin 2012 7• En cas de doute, mettre un terme à lopération et prendre contact avec la banque
    8. 8. Evolution vers une fraude "multi-canaux" Contact Malware en combinaison avec téléphonique (forme d’ingéniérie sociale) = logiciel malveillant utilisé en combinaison avec une technique consistant pour le fraudeur à se faire passer pour quelqu’un d’autre, à abuser des gens pour leur soutirer des informations qu’il ne pourrait sinon obtenir • Exemple : L’ordinateur de Pierre n’était pas assez bien protégé et a été infecté par un “malware” qui renseigne avec précision le fraudeur sur le moment où Pierre lance une session de banque par internet. La session étant ouverte, Pierre reçoit un appel de quelqu’un se faisant passer pour un collaborateur de la banque. Le message est le suivant : “Vous avez une session de banque par internet en cours et pour des raisons de sécurité, vous devez me transmettre votre signature électronique”. Sans méfiance, Pierre s’exécute. Ainsi, le fraudeur peut effectuer un faux virement.• La banque n’appelle jamais le client pour lui demander des données personnelles Febelfin | 13 juin 2012 8 et/ou une signature électronique !
    9. 9. Evolution vers une fraude "multicanaux" Phishing en combinaison avec Contact (forme téléphoniqued’ingéniérie sociale) (forme d’ingéniérie sociale) 3.Contact téléphonique pris par les fraudeurs avec le client afin de 2.Faux site internet lui faire effectuer des de la “banque” avec manipulations avec invitation à compléter la carte et le les données lecteur de carte suivantes : numéro de carte, date de naissance, code 1.Courriel de la postal et numéro de “banque” signalant que téléphone la banque installe de nouveaux logiciels de sécurisation & demandant de cliquer sur un lien.• Voir aussi récemment phishing au niveau du SPF Finances• La banque n’envoie jamais de courriel, ni ne téléphone pour obtenir des données 2012 Febelfin | 13 juin 9 personnnelles et/ou une signature électronique !
    10. 10. Recours croissant aux passeurs (mules) oumoney mules• Passeurs (mules) ou money mules = personnes qui servent d’intermédiaires à des organisations criminelles ou à des malfaiteurs. Ils renvoient, généralement sans le savoir (mais pas toujours), des fonds versés frauduleusement sur leur compte vers celui des fraudeurs. Le détour par des intermédiaires rend plus difficile l’identification du fraudeur.• Messages ressemblant souvent à des offres d’emploi : Febelfin | 13 juin 2012 10
    11. 11. III. "La sécurité, cest laffaire de tous" Febelfin | 13 juin 2012 11
    12. 12. 6 Belges sur 10 ne sinquiètent guère de laprotection de leur ordinateur• C’est ce qui ressort du Unisys Security Index, une enquête semestrielle réalisée au niveau international et portant sur divers aspects de sécurité, dont l’e-security. Febelfin | 13 juin 2012 12 Source : Unisys Security Index
    13. 13. Sécuriser les opérations en ligne ? Pour plus de 6Belges sur 10, cest laffaire des banques ou despouvoirs publics• 67% des Belges estiment que la protection de leurs données personnelles et la sécurité de leur opérations en ligne est l’affaire de leur banque ou des pouvoirs publics (Unisys Security Index). Source : Unisys Security Index Febelfin | 13 juin 2012 13
    14. 14. "La sécurité, cest laffaire de tous" Et de la banque Et du client Febelfin | 13 juin 2012 14
    15. 15. Sécurité, laffaire de la banque• Les banques belges prennent en permanence des mesures pour assurer aux opérations bancaires en ligne une sécurité optimale : • Site internet sécurisé • Ladresse commence par https • Cadenas fermé en bas • Accès personnel aux données bancaires • Clé unique – "two factor authentification" (something you have & something you know) • Signature électronique • Informations codées • Les informations échangées entre l’ordinateur du client et celui de la banque sont transmises sous forme codée. • Interruption automatique de la session de banque par internet après quelques minutes dinactivité • Monitoring et updating continus des systèmes Febelfin | 13 juin 2012 15
    16. 16. Sécurité, aussi laffaire du consommateur• Protection de l’ordinateur • Installez les logiciels de sécurisation nécessaires comme des programmes antivirus, des firewalls, des filtres à spams et des programmes anti-malware• Vigilance du client durant lexécution de la session de banque par internet • Ne donnez de signature électronique que pour des ordres attendus ou demandés • Utilisez votre signature correcte pour tous les ordres En cas de doute, stoppez immédiatement lopération en cours et contactez la banque, surtout si le scénario de signature diffère du scénario habituel. Le client peut trouver sur le site de la banque les coordonnées du point de contact et les directives de sécurité.• NE PAS donner suite à des courriels ou des contacts téléphoniques dans le cadre desquels des données personnelles et/ou une signature électronique sont demandées! La banque ne demande les données personnelles et/ou une signature électronique ni par téléphone, ni par voie électronique.• Assurer la sécurité des sessions de banque par internet • Par ex. ne pas surfer sur d’autres sites internet pendant une session de banque par internet, éviter dutiliser des ordinateurs publics, vérifier que ladresse commence bien par https://, …• Traiter les codes et mots de passe en toute confidentialité• Contrôler régulièrement ses extraits de compte Febelfin | 13 juin 2012 16
    17. 17. Sécurité, aussi laffaire de lutilisateur professionnel• Communiqué de presse de Febelfin et Isabel à la mi-mai 2012• Points d’attention pour les entreprises qui utilisent une solution professionnelle pour leurs paiements (comme Isabel ou solution de la banque) : • Veillez à bien sécuriser votre ordinateur, par ex. au moyen d’un scanner anti-virus à jour. • Retirez toujours la carte du lecteur de carte une fois que vous avez apposé votre signature, et fermez correctement, dès après utilisation, lapplication Isabel au moyen du bouton “Log-out". • Prenez immédiatement contact avec Isabel ou votre banque si vous constatez une transaction douteuse. Febelfin | 13 juin 2012 17
    18. 18. IV. En Belgique, la banque par internet fait lobjet : - d’un site internet - d’une collaboration Febelfin | 13 juin 2012 18
    19. 19. Febelfin | 13 juin 2012 19
    20. 20. Collaboration concernant la banque par interneten Belgique Federal Computer Crime Unit Banque Nationale Febelfin de Belgique Febelfin | 13 juin 2012 20
    21. 21. V. Conclusion Febelfin | 13 juin 2012 21
    22. 22. Conclusion• La banque par internet est un moyen sûr, rapide et simple de réaliser des opérations bancaires• La sécurité, cest laffaire de tous • Et de la banque • Et du client • Bonne protection de lordinateur, par ex. via un scanner anti-virus à jour • Vigilance suffisante durant la session de banque par internet et ne pas donner suite aux scénarios "anormaux" • Ne pas donner suite aux contacts téléphoniques et aux courriels dans lesquels des données personnelles et/ou une signature électronique sont demandées • En cas de doute, mettre immédiatement un terme à lopération et prendre contact avec la banque Febelfin | 13 juin 2012 22
    23. 23. www.febelfin.be

    ×