Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

Services de banque en ligne

Онлайн по банкингу

D'autres publications de cette rubrique (8)
  • Ajouter aux favoris
    Ajouter aux favoris

Authentification à deux facteurs

Lu par: 19835 Commentaires: 1 Cote de popularité: 40

mercredi 22 juin 2016

Aujourd'hui, les banques et d'autres entreprises qui offrent des services en ligne utilisent activement l'authentification à deux facteurs, ou 2FA afin d'améliorer la sécurité.

L'authentification est le processus qui consiste à vérifier l'identité d'une personne qui essaie d'utiliser un service en ligne.

Lorsque l'authentification à deux facteurs est utilisée, il ne suffit pas de donner le nom d'utilisateur et le mot de passe (on suppose que seul l'utilisateur dispose de ces données, mais en réalité ce n'est pas toujours le cas). L’utilisateur doit fournir d'autres informations qui renforcent la probabilité que c’est bien lui qui souhaite se connecter au service auquel il a souscrit : par exemple, un numéro de téléphone mobile lié à son compte.

Un des types d’authentification à deux facteurs consiste à utiliser des mots de passe uniques envoyés par SMS sur un numéro lié au compte bancaire. Il est considéré que ce type de procédé renforce la protection de l'utilisateur de services de banque en ligne contre les cybercriminels.

Cependant, ce n'est malheureusement pas toujours le cas. Les cybercriminels ont appris à contourner cette protection.

Voici un des scénarios permettant de contourner la protection utilisant des mots de passe uniques

  1. Un Trojan bancaire s’étant introduit dans un ordinateur est capable d'intégrer aux pages Web consultées du contenu malveillant, autrement dit, d'exécuter des injections Web.
  2. Lorsque la victime tente de consulter la page de sa banque ou d’ouvrir la page dédiée au service bancaire, le Trojan, contrôlant cette page, remplace son contenu. A partir de ce moment-là, l’écran affiche un message informant que pour continuer à interagir avec le système banque-client, l'utilisateur doit télécharger et installer sur son téléphone mobile une application bancaire spécifique. L'apparence du site Web en question et de la page Web dans la barre d'adresse du navigateur reste inchangée et n’entraîne pas de soupçons.
  3. La victime installe sur son Smartphone l'application téléchargée depuis le lien proposé tandis qu'en réalité cette application est un Trojan bancaire mobile.
  4. Le Trojan (l’appli téléchargée) intercepte les SMS envoyés par le système banque-client et contenant des mots de passe uniques, et il les transmet aux pirates, tandis que le Trojan tournant sur l'ordinateur utilise ces mots de passe pour voler de l'argent sur le compte de l'utilisateur.

Le projet Lumières sur la sécurité recommande

L'authentification à deux facteurs en utilisant des mots de passe uniques renforce considérablement la sécurité des services en ligne et des données relatives à de tels services. Mais l'utilisation de ce type d'authentification dépend uniquement de l'utilisateur et non pas de la société qui met en place cette méthode d'authentification. Donc, si vous souhaitez protéger vos données et vos informations :

  • Vous pouvez utiliser, pour recevoir les confirmations via SMS, un téléphone mobile particulier (autre que votre Smartphone habituel), sur lequel il est impossible d'installer des logiciels.
  • Ne visitez pas des sites douteux depuis lesquels un Trojan peux pénétrer dans votre ordinateur à votre insu, pour cela, soyez attentif aux recommandations de l'antivirus Web Dr.Web SpIDer Gate et ne le désactivez pas. Si vous n’êtes pas un spécialiste en sécurité informatique, vous n'êtes pas en mesure de déterminer si tel ou tel site Web est malveillant ou pas.
  • Ne cliquez pas sur les liens dans les messages suspects ou les SMS, et utilisez l'antispam Dr.Web qui permet d'éliminer de tels messages.
  • Si vous téléchargez un "crack" ou une application sans licence (et que vous désactivez votre antivirus qui vous alerte lors du téléchargement), sachez que vous courez un risque. Dr.Web enregistre toute désactivation de la protection en analysant l'heure de la contamination (lorsqu'un Trojan s'est mis en marche sur votre PC), une expertise pourra donc prouver que ce n'est pas l'antivirus qui est responsable d’une perte d’argent.

[Twitter]

Nous apprécions vos commentaires

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs

Commentaires sur d'autres publication | Mes commentaires