Comment sont piratés vos comptes en banque ?

A notre époque, le voleur de banque n’est plus vraiment quelqu’un qui se rend physiquement dans une banque pour en exiger la caisse. Il n’y trouverait d’abord quasiment rien (moins que dans un magasin) puisque l’essentiel des transactions des banques se font par voie électronique et puis ce serait dangereux pour lui.

En revanche, caché derrière un ordinateur et de multiples identités, parfois même dans un pays étranger à la législation compliquée, le voleur de banque peut procéder comme il le souhaite, comme l’a montré un vol de plusieurs millions de dollars dans des banques via le système pourtant dit « sécurisé » de Swift.

Cibles privilégiées du voleur de banque: les particuliers. Moins défendus que les banques elles-mêmes mais aussi principale faiblesse des systèmes bancaires sur internet, les comptes de particuliers sont la cible essentielle des voleurs qu’on appelle souvent des pirates.

Comment peut-on voler votre argent, comment sont piratés vos comptes en ligne ?

Tout d’abord quelques principes et mots à connaitre en ce qui concerne le piratage en ligne de comptes bancaires.

Pour voler de l’argent via Internet, le criminel va devoir connaître le moyen d’accéder à un compte en ligne ou du moins à un système de virement. Bien évidemment, le système peut avoir une faille mais c’est rare, compliqué à trouver et le simple fait de chercher peut dévoiler le voleur.

Il est bien plus facile quand on veut pirater un compte bancaire de voler les identifiants et la manière de se connecter de personnes (les particuliers notamment) qui ont accès à un compte en ligne.

Principaux modes de piratage d’un compte en ligne.

Différentes techniques sont utilisées dont:

  • le keylogger: un programme installé sur un ordinateur et qui va enregistrer toutes les frappes au clavier, voir même les mouvements de souris, ce qui permet ensuite de savoir quels sont les login et mots de passe; un keylogger s’installe à votre insu quand le pirate a votre ordinateur entre les mains, ou via une clé usb (parfois même cachée au sein d’une souris ou d’un clavier) ou par un programme que le pirate vous fait télécharger
  • le malware: c’est un programme espion qui va s’installer sur votre ordinateur via un mail contenant une pièce jointe ou via un site internet que le pirate vous fait visiter; un malware très connu dans le piratage bancaire: Zeus
  • le phishing: ou hameçonnage en français; c’est le fameux mail prétendant avoir besoin de vous ou qui vous promet la lune et des millions si vous faites ci et ça; outre les mails vraiment bidons qui vous demandent carrément de verser de l’argent, les mails de phising vous poussent à visiter un site, qui parfois imite le VRAI site de votre banque (avec même une transformation du nom assez invisible – technique du pharming), afin que vous y saisissiez votre mot de passe ou login; ayez le bon réflexe de ne JAMAIS répondre à un mail de banque même si il est vrai; personne ne peut vous condamner ou vous amender si vous ne répondez pas à un mail; partez du principe que TOUT mail issu d’une banque, vrai ou faux, n’a pas à être pris en compte et jetez le à la poubelle :-))
  • le virus et le spyware: des détails différencient les 2 choses mais dans les 2 cas, le but est de vous espionner comme un keylogger ou en permettant AVANT l’envoi d’un mail de phishing  ou un malware de désactiver vos protections ou de vous faire prendre des vessies pour des lanternes

Identifiant et mot de passe, clés de voute du piratage de compte bancaire

Vous l’avez compris, récupérer l’identifiant et le mot de passe est la base du piratage d’un compte bancaire.

Dans certaines banques, l’identifiant est le numéro de compte. C’est moyen au niveau de la sécurité car le numéro de compte se récupère facilement.

Par ailleurs la communication initiale de l’identifiant diffère selon les banques: certaines le donnent en agence seulement ou alors par mail (dangereux si votre ordinateur est déjà « infecté » ou sous surveillance) ou par courrier.

En ce qui concerne le mot de passe, les banques ont une approche différente dès son attribution non seulement dans son mode mais dans son existence même. En effet, pas mal de banques exigent que le mot de passe qu’elles fournissent soit changé dès la première connexion. Cela leur permet non seulement de vérifier que le client s’est connecté au moins une fois mais aussi d’ajouter une couche de sécurité en sachant d’où il se connecte (certains programmes du site de la banque demandent si l’IP de connexion est celle de la maison, du bureau, etc.. et via des cookies, le site « pose » un témoin sur l’ordinateur qui se connecte afin de compléter l’authentification la fois suivante).

Le changement de mot de passe se fait différemment d’une banque à l’autre et parfois, il n’y a même pas de demande de confirmation par sms (3D Secure en vigueur sur certains sites e-commerce).

D’autre part, la banque n’impose pas forcément une certaine longueur ou l’obligation de certains types de caractères dans le mot de passe, afin d’éviter que celui-ci ne soit qu’un mot ou prénom ou date de naissance.

Lors de la connexion, certaines banques proposent sur l’écran un clavier virtuel où les emplacements des lettres et touches changent à chaque fois (ce qui permet de tromper d’éventuels keyloggers).

Certains sites de banque (CIC, Crédit Mutuel, Monabanq notamment) sont très mal protégés car même avec le système précédent, ils permettent aux navigateurs (Chrome, Firefox, IE, Safari) de garder en mémoire identifiant et mot de passe.

2 autres caractéristiques des sites de banques sont prises en compte par les pirates: le nombre de tentatives possibles pour se connecter (et ce qui se passe en cas de non réussite: compte bloqué ou simplement délai d’attente à respecter) et le temps de non activité pour qu’il y ait une déconnection automatique (parfois, sur des sites comme bforbank, fortuneo ou boursorama, ce temps est supérieur à 15 minutes, ce qui laisse beaucoup de temps à d’éventuels pirates).

Pour finir: que permet l’accès à un compte en ligne ?  Si on peut facilement y mettre en place un virement, c’est grave car n’importe quel pirate ou « proche » ayant accès au compte pourra le vider ET COMME CE SERA FAIT PAR L’ACCES CLASSIQUE, vous ne récupérerez rien du tout…

Laissez un commentaire ou posez une question

Les cookies nous permettent de personnaliser le contenu et les annonces, d'offrir des fonctionnalités relatives aux médias sociaux et d'analyser notre trafic. Nous partageons également des informations sur l'utilisation de notre site avec nos partenaires de médias sociaux, de publicité et d'analyse, qui peuvent combiner celles-ci avec d'autres informations que vous leur avez fournies ou qu'ils ont collectées lors de votre utilisation de leurs services. Plus d’informations

Les paramètres des cookies sur ce site sont définis sur « accepter les cookies » pour vous offrir la meilleure expérience de navigation possible. Si vous continuez à utiliser ce site sans changer vos paramètres de cookies ou si vous cliquez sur "Accepter" ci-dessous, vous consentez à cela.

Fermer