comprendre les attaquesMan-in-the-browserAnalyse et réduction de ces menacespour les institutions financièresLivre BlancCo...
page 2Le cheminement ou flux basique d’une attaque MITB est le suivant1:1. Un utilisateur est infecté par un cheval de Tro...
page 3Enfin, la contamination par téléchargement caché (drive-by downloads ) aussi joué unrôle majeur dans la croissance d...
page 4SilentBankerLe Trojan SilentBanker offre de nombreuses fonctionnalités avancées MITB dont :•	Scripts MITB qui interc...
page 5reduire la fraude exige une securité multi-niveauxAprès une investigation intensive sur les Trojans et logiciels mal...
page 6fonctions avancées pour identifier un comportement de Trojan, par exemple détecter undétournement manuel de session,...
page 7Au cours de la session, certains modèles peuvent révéler un comportement inhabituel.Par exemple, l’ajout d’un nouvea...
EMC2, EMC, RSA, et le logo RSA sont des marques déposées ou des marques d’EMC Corporation aux Etats Unis etautres pays. To...
Prochain SlideShare
Chargement dans…5
×

11577 mitb wp_0611_fr

264 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
264
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
3
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

11577 mitb wp_0611_fr

  1. 1. comprendre les attaquesMan-in-the-browserAnalyse et réduction de ces menacespour les institutions financièresLivre BlancContexteLes cybercriminels utilisent des méthodes nouvelles et plus sophistiquées pours’attaquer aux utilisateurs en ligne. Une des menaces en forte croissance déployéesaujourd’hui est l’attaque troyenne « Man-in-the-Browser (MITB) ou “homme dans lenavigateur”. Les attaques Man-in-the-browser font partie de l’évolution naturelle de lacybercriminalité, évolution résultant d’une sécurité en ligne plus forte et d’une prise deconscience plus grande du grand public. La propagation des attaques Man-in-the-browser est favorisée par les attaques de spear phishing, la popularité de sites deréseaux sociaux et l’augmentation de l’infection par téléchargement. L’année dernière, ily a eu une augmentation exponentielle du nombre de ces attaques contre desinstitutions financières dont nombre de banques européennes et américaines.Présentation des attaques man-in-the-browserUne attaque « man-in-the-browser » vise à intercepter les données qui transitent sur uncanal de communication sécurisé entre un utilisateur et une application en ligne. Uncheval de Troie s’incruste dans le navigateur de l’utilisateur et peut être programmé pours’activer dès que cet utilisateur accède à des sites spécifiques, comme des sites debanque en ligne. Une fois activé, le cheval de Troie « man-in-the-browser » intercepte etmanipule toute information communiquée en ligne et en temps réel par l’utilisateur.Nombre de familles de trojans (chevaux de Troie) sont utilisées pour mener des attaquesMITB, on peut citer notamment Zeus/SpyEye, URLzone, Silent Banker, Sinowal et Gozi.Certains chevaux de Troie MITB sont tellement avancés qu’ils rendent les fraudes encoreplus aisées. Ils utilisent des fonctionnalités de programmation pour automatiserentièrement la procédure, de la contamination à l’encaissement. Les chevaux de TroieMITB offrent de nombreuses autres capacités, dont :• Insertion de code HTML pour permettre l’affichage de pages sophistiquées d’ingénieriesociale (i.e: insertion d’un champ dans une page invitant l’utilisateur à saisir le numéroet le code PIN de sa carte bancaire, en complément de son identifiant et mot de passe).• Fenêtres Pop-ups HTML ou JavaScript pour communiquer en temps réel avec la victime(i.e : demandant à la victime d’entrer un « one-time-password » valide ou de divulguerles réponses à ses questions secrètes).• Interaction en temps réel de chevaux de Troie avec des bases de données de comptesde mules pour faciliter le transfert automatique d’argent.
  2. 2. page 2Le cheminement ou flux basique d’une attaque MITB est le suivant1:1. Un utilisateur est infecté par un cheval de Troie MITB2. Lorsque l’utilisateur démarre une session de banque en ligne, le cheval de Troie se meten action et lance ses fonctionnalités MITB3. L’utilisateur effectue toutes les étapes d’authentification, y compris l’authentification àdeux facteurs, si nécessaire. Le cheval de Troie attend en silence une connexion réussieet/ou que l’utilisateur initialise un transfert d’argent.4. Le cheval de Troie manipule les détails de la transaction (exemple le bénéficiaire et lemontant du transfert). Le compte du bénéficiaire légitime est remplacé par un comptede mule du fraudeur.5. Le cheval de Troie maintien une vue en apparence légitime de la transaction en utilisantdes techniques d’ingénierie sociale. Il affiche de fausses pages HTML à l’utilisateur,montrant les détails de la transaction2legitime (telle que saisie par l’utilisateur). Si uneauthentification supplémentaire est nécessaire pour terminer la transaction, le chevalde Troie peut interagir avec l’utilisateur pour qu’il saisisse en temps réel lesinformations pour la méthode d’authentification exigée par son institution financière.Ce qui rend les attaques MITB difficiles à détecter du coté serveur de la banque est quetoutes les actions menées semblent être effectuées depuis le navigateur de l’utilisateurlégitime. Les caractéristiques telles que langue Windows et adresse IP semblentidentiques aux données réelles de l’utilisateur. Ceci crée un vrai défit : commentdistinguer les transactions authentiques des malveillantes.Taux d’Infection Exponentiel Aujourd’hui, l’accroissement dramatique du nombre d’attaques man-in-the-browser (et ladiffusion de logiciels malveillants en général) est favorisé par divers vecteurs dont lespear phishing, l’augmentation des sites de réseaux sociaux, et l’infection partéléchargement3.Le Spear phishing est un contributeur important dans la diffusion des attaques man-in-the-browser. Utilisant des techniques bien ficelées d’ingénierie sociale, les criminelslancent des campagnes sophistiquées de Spear phishing ciblant les clients de banqued’entreprise et des individus a haut potentiel financier. La disponibilité sur internet dedonnées sur les personnes, notamment sur des sites comme Facebook et LinkedIn,permet aux criminels de recueillir assez d’informations crédibles sur leurs cibles avant deleur envoyer des emails extrêmement crédibles et qui ont de fortes chances de générerune réponse. Le Spear phishing ne cible pas uniquement des consommateurs, ils’intéresse aussi aux employés dans l’entreprise. Quarante-cinq pour cent des employésindiquent avoir reçu un email de phishing au travail4.La popularité et le nombre important d’utilisateurs des réseaux sociaux ont aussicontribué à l’expansion des chevaux de Troie et malware. Le trafic important et la portéemondiale de ces sites en ont fait une cible de choix pour les criminels. Aujourd’hui, 40 %des utilisateurs de réseaux sociaux ont subi une forme d’attaque5par malware.1 Ceci est une description générale d’attaques MITB. Il peut y avoir d’autres cas et scénarios, mais les étapes sontcommunes à la plupart des attaques MITB constatées par RSA. Dans ce document, nous focalisons sur lesTrojans automatiques dans la manipulation des données d’une transaction générée par l’utilisateur légitime.2 Certains Trojans sont programmés pour remplacer le champs “solde” du compte utilisateur, et afficher un soldeexactement comme il devait être après la transaction légitime de l’utilisateur.3 Un programme qui est automatiquement téléchargé sur la machine de l’utilisateur sans son consentement ouconnaissance. Le téléchargement peut avoir lieu sur simple visite d’un site web ou consultation d’un email.4 RSA 2011 Workplace Security Report5 Sophos Security Threat Report 2011Le processus d’encaissement(ou cash out) via descomptes de mules est devenutotalement automatisé.Certaines versions du chevalde Troie Zeus/SpyEye, parexemple, sont construitesavec des scripts quiinteragissent avec des outilsde gestion de mules. Chaquefois qu’une transaction MITBest tentée via une machineinfectée, le cheval de Troie semet en relation avec l’outil degestion de mule et tire le 1ernuméro de compte de muledisponible pour recevoir lesfonds volés.
  3. 3. page 3Enfin, la contamination par téléchargement caché (drive-by downloads ) aussi joué unrôle majeur dans la croissance des attaques MITB. Un drive-by downloads est initialiséquand un utilisateur est redirigé vers un site spécifiquement créé par des criminels afind’infecter des utilisateurs – le plus souvent après avoir cliqué sur un lien dans un email.Dans d’autres cas, les criminels exploitent les vulnérabilités de sites légitimes pour ymettre du code malveillant qui redirige le trafic vers des points d’infection: l’utilisateurtélécharge aini un trojan, sans avoir une quelconque connaissance qu’il a été infecté.Aujourd’hui, environ 2 pages sur 1000 affichées aux utilisateurs dans les résultats desmoteurs de recherche contiennent un drive-by downloads6.Le résultat final est la croissance exponentielle du nombre d’utilisateurs infectés par uneforme quelconque de malware. Le Trojan bancaire le plus répandu est Zeus/SpyEyeimpliqué dans 80% des attaques ciblant les institutions financières au premier trimestre20117. Cette famille de malware n’est pas seulement la plus largement diffusée, c’estaussi celle connue comme ayant les caractéristiques et fonctionnalités MITB les plussophistiquées disponibles à la vente sur le marché souterrain des criminels.MITB - caractéristiques et fonctionnalitésLes capacités du man-in-the-browser ont rejoint le top des désirs de la plupart descriminels. Après la mise en oeuvre couronnée de succès de fonctionnalités MITB dansZeus, d’autre Trojans ont suivi la tendance notamment : Bugat, Clod, Gozi (v2, 2010),Lamp, Mimicker, Patcher, Silent Banker, Silon, SpyEye, Syscron, et URLZone. Tous cesTrojans ont certaines fonctionnalités MITB pour automatiser des transactionsfrauduleuses utilisant des scripts spécifiques. Ci-dessous un exemple de certainesfonctionnalités MITB communes à nombre de familles troyennes actives actuellement:Zeus/SpyEyeZeus/SpyEye a la capacité d’identifier et intercepter en temps réel les différents types detrafic Internet et est exploité principalement pour lancer des attaques automatisées, quiutilisent par exemple une série d’identifiants personnels de la victime et d’identifiants deses périphériques. Zeus/SpyEye facilite aussi le détournement manuel de la sessionactive internet d’une victime. Pour réussir ceci, le criminel a besoin que la victime soitprésente en ligne et prête à fournir un OTP valable selon la demande.Pour entrer dans une session en cours, le criminel doit jouer à la perfection le rôle de lavictime. Il aura par exemple besoin d’accéder aux cookies de la victime. Or les cookiesHTTP ont une signature numérique propre associée afin qu’ils soient utilisablesuniquement pour la personne prévue. mais comme un cookie ne peut pas être contrefait;les criminels doivent les voler afin de pouvoir ensuite présenter le cookie nécessaire auserveur de la banque et ainsi gagner l’accès à une session bancaire en ligne légitime.Par ailleurs, il n’est pas toujours possible d’intercepter secrètement une session bancaireen cours; Zeus/SpyEye offre donc des moyens pour pouvoir détourner l’attention del’utilisateur : il propose ainsi la fonctionnalité d’injection de code HTML , ce qui permetde présenter à l’utilisateur de faux messages contextuels, par exemple des messages demaintenance l’informant que la session a été temporairement suspendue.Une variante de SpyEye, a même permis à un criminel de supplanter la demande dedéconnexion de l’utilisateur légitime et ainsi continuer la transaction en arrière-plan. Eneffet dès que l’utilisateur a soumis ses habilitations, le trojan SpyEye a présenté unefausse page d’information indiquant à l’utilisateur que ses données de sécurité étaienten cours de vérification. La figure 1 montre le faux message affiché à l’utilisateur luidemandant de pas fermer ou recharger la page, puisque en réalité le criminel esttoujours connecté sur à la même session et exécute un transfert d’argent frauduleux.RSA a mené une étudeapprofondie examinant lesmenaces MITB et le réseaude mules qui les supportent.Parmi les informationsremontées de l’étude desopérations de gestion demules, on note:• Age moyen d’une mule: 31• Durée de vie moyenne d’uncompte de mule : 3 jours(ceci reflète la moyenne entrela première et la dernièreutilisation du compte, pasdepuis quand la mule a étérecrutée)• Nombre moyen de tentativesde fraudes par compte demule : 18• Montant moyen transféré viaune mule: $3,980 pour labanque de détail6 Microsoft Intelligence Report, Volume 9: 1007 RSA FraudAction Quarterly Trojan Report, April 2011
  4. 4. page 4SilentBankerLe Trojan SilentBanker offre de nombreuses fonctionnalités avancées MITB dont :• Scripts MITB qui interceptent des données envoyées de la victime vers la banque • Un capteur OTP qui peut intercepter et voler des codes SMS, des numéro TAN (Transaction Authorisation Number) et autres codes one-time password (OTP) utiliséspar les banques pour authentifier un transfert d’argent par un utilisateur.• Injections HTML locales pour imiter les sistes web des sintitutions financières ciblées;SilentBanker utilise des injections HTML surtout pour obtenir des mots de passe OTP.Généralement SilentBanker attend qu’une victime se connecte avec succès au vrai siteWeb de la banque, et là il injecte un nouveau contenu HTML dans la page. Les champsnouvellement injectés incitent les victimes à divulguer des données sensibles, rarementdemandées par leur banque, comme le numéro de leur carte de paiement et leur PIN.URLzoneURLzone a la capacité d’injecter un code dans une page web chargée dans le navigateurde l’utilisateur afon de lancer des attaques MITB. URLzone utilise le détournement desession traditionnel pour voler les codes OTP des clients afin de réaliser des transactionsfrauduleuses. Pour réussir une attaque MITB, URLzone compte sur une variété detechniques d’ingénierie sociale. En général, ceci est exécuté grâce à une autre injectionde code qui – après que l’utilisateur ait fournit un code OTP valable – crée une page avecun faux message d’erreur (ex:, “Nous ne sommes pas en mesure de terminer votretransaction actuellement. Merci de réessayer plus tard”).GoziUne variante récente de Gozi est programmée pour voler de nombreux types de données;Gozi possède des injections qui ont déjà réussi à voler des codes token SMS et desnuméros TAN. Il a également des scripts qui récupèrent8l’information complémentairetelle que limites quotidiennes de transfert et soldes de comptes chèque, épargne et cartede crédit.Les logs du trojan Gozi contenant les procédures de transactions automatisées montrentclairement que Gozi est préprogrammé pour déterminer quel pourcentage du solde decompte peut être transféré à la fois. Pour déterminer la somme à transférer, Gozirécupère d’abord le solde du compte courant. La figure 2 montre un enregistrement créépar Gozi lors de l’exécution des transferts automatisés d’argent. Le Log du trojan montreque Gozi prend le solde du compte et les limites quotidiennes de transfert et ensuiteutilise le TAN pour finir le transfert.8 Le Data Scraping (récupération de données) est utilisé par les Trojans pour accéder ausource code de la page, y localiser les données pertinentes et les envoyer au criminel.Figure 1: Exemple de fausse page quipourrait être présentée à desutilisateurs infectés au cours d’uneattaque man-in-the-browser
  5. 5. page 5reduire la fraude exige une securité multi-niveauxAprès une investigation intensive sur les Trojans et logiciels malveillants, spécifiquementles attaques man-in-the-browser, on peut tirer plusieurs conclusions :1. La protection lors du login n’est pas suffisante pour arrêter les attaques MITB. Même sil’utilisateur légitime est connecté sur le compte, les Trojans MITB sont capables de fairedes transferts d’argent de ce compte pendant la session bancaire de l’utilisateur.2. Les attaques MITB sont difficiles à détecter sans monitoring et protection destransactions. Un Trojan MITB peut détourner un poste utilisateur de sorte que n’importequelle transaction malveillante exécutée apparaitra toujours comme provenant del’utilisateur légitime. Donc au-delà du suivi du poste et de l’adresse IP, de puissantesfonctionnalités de profilage comportemental sont indispensables à la détection MITB.3. Comme certains Trojans utilisent des injections HTML pour demander des habilitationsnécessaires à une authentification additionnelle, l’authentification Hors-bande est plusrésistante au MITB car elle contourne le canal internet.4. Les recherches manuelles sur les fraudes MITB ne peuvent pas être efficaces. En effetun Trojan peut être entièrement automatisé pour exécuter l’intégralité du processus entemps réel – de l’infection à l’encaissement. Donc plus la fenêtre de temps pourvalider le transfert de fonds est réduite, moins il y aura de temps pour examinermanuellement ces cas de transfert. Il est donc indispensable de mettre en œuvre uneauthentification additionnelle (de préférence une vraie authentification hors bande).5. L’intelligence est un élément important de la réduction de la fraude. Les comptes demules par exemple jouent un rôle majeur dans le processus d’encaissement. L’accès àl’intelligence fraude est cruciale au développement d’une solution efficace.Une approche de sécurité multi-niveaux –combinant un monitoring de transaction selonle risque, la détection, l’arrêt et les services d’intelligence sur les attaques de Trojans,ainsi que des capacités hors bande– fournit solide défense contre les menaces man-in-the-browser. Les institutions financières répondent au défi des attaques man-in-te-browser grâce aux solutions RSA suivantes:• Transaction Monitoring: RSA®Transaction Monitoring s’intéresse aux activités conduitespost-login afin de détecter un comportement inhabituel qui pourrait indiquer unetentative de fraude ou une activité de Trojan. La solution fonctionne avec n’importequelle authentification forte existante et peut être déployée de manière totalementinvisible pour l’utilisateur final. Par ailleurs, RSA Transaction Monitoring offre desFigure 2: Un log du Trojan Gozimontrant un transfert de monnaieautomatique MITB
  6. 6. page 6fonctions avancées pour identifier un comportement de Trojan, par exemple détecter undétournement manuel de session, des comptes de mules et des injections HTML.• Trojan : Détection, Shutdown et Intelligence: RSA®FraudAction™Anti-Trojan Service apour but de réduire l’impact des Trojans à travers l’iedntification et le shutdown despoints d’infection trouvés et le blocage des ressources utilisées par le trojan pourcommuniquer (c’est a dire: serveur drop, serveurs de Command Control). Encomplément le service essaye d’extraire les habilitations volées et les informations surles comptes de mules ouverts pour recevoir les transferts d’argent frauduleux.• RSA eFraudNetwork: RSA®Adaptive Authentication et RSA Transaction Monitoringexploitent des informations sur les modèles de fraude contenues dans le référentiel dedonnées RSA®eFraudNetwork™. L’eFraudNetwork est alimenté de données sur la fraudefournies par un vaste réseau de clients, utilisateurs finaux, ISPs, et autres partiestierces. Régulièrement, les analystes du RSA Anti-Fraud Command Center apportent denombreues contributions d’intelligence sur la cybercriminalité.• Authentification Hors-bande: RSA offre une authentification téléphonique Hors-bandepermettant aux utilisateurs d’entrer un one-time password sur le clavier de leurtéléphone. L’autehntification hors-bande permet une puissante protection contre lesattaques man-in-the-browser car elle sépare le processus d’authentification du canalWeb channel, le rendant ainsi plus difficile à compromettre.Monitoring de TransactionsLa protection de la connexion est essentielle, mais elle n’est pas suffisante car lespirates ont développé une technologie capable de manipuler les transactions après lelogin. La protection de transaction se réfère à la capacité d’une organisation à surveilleret identifier les activités suspectes post-connexion – une capacité souvent associée àune solution de surveillance des fraudes basée sur le risque.La plupart du temps, les transactions exigent un examen plus approfondi, car ellesprésentent un risque plus important que le simple fait de se connecter à un compte. Parexemple, un utilisateur non autorisé peut obtenir l’accès à un compte mais le risquemajeur se produit si une transaction, par exemple un transfert de l’argent disponible surle compte, est tentée. Dans de tels cas, une solution de protection des transactionsalertera les équipes de fraudes ou bien défiera les utilisateurs de manière appropriée.RSA Transaction Monitoring s’appuie sur le moteur en auto-apprentissage RSA RiskEngine qui évalue en arrière plan, les risques pour tous les utilisateurs. La solution peuts’associer à n’importe quelle autre solution d’authentification existante et passerentièrement inaperçue aux yeux de l’utilisateur. Lorsqu’un utilisateur tente d’effectuerune transaction, le risque est évalué au niveau de chaque activité et un score unique estattribué. Lorsque ce score dépasse le seuil acceptable (défini par l’entreprise qui adéployé la solution) ou qu’une politique interne n’est pas respectée, un incident estouvert dans l’outil RSA Case Manager. Cet outil permet la gestion et l’investigationcomplète de l’incident avec une focalisation sur les transactions de risque le plus élevé.En cas de risque extrême ou lorsque le temps nécessaire à l’étude d’un incident estinsuffisant, l’utilisateur est challengé en avec un appel téléphonique hors bande entemps réel avant que la transaction soit menée à son terme.RSA Transaction Monitoring est aussi capable de détecter les Tojans en réalisant desanalyses comportementales avancées. Les comportements habituels des utilisateurs sontpassés au crible et lorsqu’un comportement s’écarte de ce modèle, le score de risque decet utilisateur augmente. L’analyse des comportements utilisateurs, notamment lesactivités de paiements qu’il effectué, est essentielle au niveau des transactions. Cela estparticulièrement vrai pour le trojan Man-in-the-browser, du fait qu’il patiente le tempsqu’un utilisateur se connecte à son compte bancaire. Il n’intervient qu’une fois laconnexion établie.
  7. 7. page 7Au cours de la session, certains modèles peuvent révéler un comportement inhabituel.Par exemple, l’ajout d’un nouveau bénéficiaire suivi d’un versement immédiat en safaveur apporte la preuve d’un comportement atypique. Ce type d’activité est indétectableà la connexion. En outre, Transaction Monitoring offre davantage de fonctionnalitésavancées pour détecter les Trojans , comme la détection du piratage manuel de session,l’analyse des modèles comportementaux des Trojans, la détection de compte mule etd’insertion de code HTML.Transaction Monitoring repose également sur RSA®eFraudNetwork™, un référentielinter-entreprise de modèles de fraudes détectées et remontées par le large réseau RSAde clients, ISP et autres parries tierces contributeurs de communauté à travers lemonde. Lorsqu’une activité est identifiée comme comportant un risque élevé, lesdonnées de la fraude, le profil de la transaction, l’adresse IP et les empreintesnumériques du périphérique sont transférés à un référentiel de données partagé.Le réseau eFraudNetwork alimente directement en données de fraude le systèmeTransaction Monitoring et se révèle l’une des nombreuses sources utilisées dansl’affectation d’un score de risque. Il comprend également des données sur les comptesmule provenant du service RSA FraudAction Anti-Trojan.Trojan : détection, shutdown et intelligenceLe service RSA FraudAction Anti-Trojan, un élément essentiel de la solution RSA FraudAction, se concentre sur l’atténuation de l’impact des attaques de chevaux de Troie.RSA s’est particulièrement intéressé aux attaques man-in-the-browser , les a analyséeset a intégré l’intelligence de leur concept dans le service RSA FraudAction Anti-Trojan.Une détection, un blocage et un arrêt précoces, tels sont les éléments fondamentauxpermettant de limiter l’impact d’un cheval de Troie et d’atténuer les dommagesoccasionnés. Toutefois, le fait de fermer ou de bloquer l’accès aux zones d’infection, auxzones de mise à jour, aux sites de dépôt et aux messageries de diffusion, se révèle uneprocédure bien plus compliquée que prévu. De plus, les trojans constituent une menaceplus complexe à traiter dans la mesure où des milliers de variantes de ces programmescriminels existent.Grâce à son travail avec les principales institutions financières et à sa surveillance desnombreuses attaques, RSA a créé des liens avec certains des plus importants FAI etbureaux d’enregistrement de sites au monde. Le centre antifraude, RSA Anti-FraudCommand Center renforce ces liens de manière à engager un processus 24x7 decessation et d’abstention.Le laboratoire RSA FraudAction Research Lab renforce les points forts et les services deRSA. Cette équipe de chercheurs chevronnés est dédiée à l’investigation et étude desderniers outils, technologies et tactiques utilisés par les cybercriminels. Cette équipe apour objet d’affronter les nouvelles menaces, comme les attaques man-in-the-browser etentend mettre au point les outils et les processus nécessaires pour les stopper dans lesplus brefs délais.Capacités hors-bandeLes méthodes de communication hors bande (Out-Of-Band) constituent une armepuissante contre ces menaces sophistiquées, car elles contournent le canal decommunication le plus souvent utilisé par les pirates, à savoir Internet. Cela se révèletout particulièrement vrai dans le cas des attaques man-in-the-browser lorsqu’un chevalde Troie s’installe directement dans le navigateur de l’utilisateur. Les méthodes decommunication hors bande utilisent par exemple le courrier postal, le téléphone, ou unmessage texte (aussi appelé SMS pour Short Message Service).Le module RSA Adaptive Authentication Out-of-band Phone fournit aux utilisateurs unpassecode à usage unique qui s’affiche dans leur navigateur Web. Le système génèrel’appel et compose automatiquement l’appel téléphonique. L’appel passe en revue les
  8. 8. EMC2, EMC, RSA, et le logo RSA sont des marques déposées ou des marques d’EMC Corporation aux Etats Unis etautres pays. Toutes les autres marques citées sont la propriété de leurs détenteurs respectifs.©2010-2011 EMC Corporation. Tous drooits réservés. Publié aux USA.FR MITB wp 0611A propos de RSARSA, est le premier fournisseur de solutions sécurité, de gestion du risque et de laconformité pour l’accélération business. RSA contribue au succès des plus grandesentreprises mondiales en solutionnant leurs challenges de sécurité les pluscomplexes et sensibles. Ces défis comprennent notamment gérer le risqueorganisationnel, sécuriser l’accès mobile et la collaboration, prouver la conformité etsécuriser les environnements virtuels et Cloud.En combinant les contrôles métiers sensibles majeurs au niveau de la certificationd’identité, du Data Loss Prevention, du chiffrement et tokenization, de la protectioncontre la Fraude et du SIEM avec des capacités eGRC leaders de l’industrie ainsi quedes services efficaces de consulting, RSA apporte la visibilité et la confiance à desmillions d’identités utilisateurs, aux transactions qu’elles exécutent et aux donnéesqu’elles génèrent.www.rsa.comdétails de la transaction et invite l’utilisateur à saisir sur le clavier de son téléphone, lepassecode à usage unique affiché dans son navigateur Web. Une fois le numéro saisi sur letéléphone, puis confirmé, la transaction se poursuit sans interruption.Il s’agit là d’une « véritable » authentification hors bande, car le passcode est saisi sur letéléphone et non sur l’ordinateur infecté (comme cela est habituellement le cas lorsquele mot de passe est reçu via la messagerie électronique ou SMS).ConclusionLes cybercriminels n’ont de cesse de faire évoluer leurs outils et leurs tactiques pourcontourner les défenses mises en place même par les institutions financières les plusconsciencieuses en matière de sécurité. De nos jours, les attaques man-in-the-browserconstituent l’une des menaces les plus complexes ciblant les utilisateurs et affectant lesinstitutions financières dans le monde entier. La protection de la connexion à elle seulene peut suffire à les bloquer. Les institutions financières entreprises doivent combiner unmonitoring basé sur le risque des transactions, la détection, l’arrêt et l’intelligence surles Trojans, et des fonctionnalités hors bande pour une véritable sécurité multi-niveauxcapable de réduire l’impact des attaques man-in-the-browser.

×