Un scénario pour l'attaque sur Tesco Bank

Publié le 19 décembre 2016 par Patriceb @cestpasmonidee
Depuis la spectaculaire cyber-attaque du mois dernier sur Tesco Bank et en l'absence d'information officielle, les pièces du puzzle commencent progressivement à s'assembler et semblent pointer vers un scénario sophistiqué, révélateur à la fois de l'inventivité des escrocs et de l'incapacité des institutions financières à anticiper tous les risques.
S'il n'est donc pas certain que les faits se soient exactement déroulés de la manière dont ils sont décrits ici, les hypothèses retenues correspondent toutes à une réalité et rendent totalement vraisemblable le montage proposé. En préalable, un certain nombre de conditions – connues des cybercriminels – doivent être réunies : une banque émettant des cartes à numéros séquentiels, une prolifération de sites de commerce en ligne et un réseau de paiement (Visa) dont les protections comportent un « petit » défaut.
Le jour prévu, l'attaque est lancée : grâce à un logiciel simple, les malfaiteurs coordonnent des tentatives de transactions sur quelques centaines (ou milliers) de plates-formes de e-commerce. Il s'agit de tester en « force brute », pour chaque numéro de carte, les combinaisons des 60 dates d'expiration et 1 000 codes CVV possibles, jusqu'à trouver celui qui fonctionne. Des chercheurs ont démontré que, en distribuant les recherches sur de multiples sites, il ne fallait que quelques secondes pour obtenir un résultat.
En supposant que cette méthode a été employée dans le cas de Tesco Bank, 2,5 millions de livres ont pu être détournées avant que le raid soit détecté et stoppé. Pourquoi ? D'abord, l'utilisation de numéros de carte séquentiels a permis d'accélérer l'attaque. Ensuite, les pages de paiement acceptent souvent plus d'une dizaine de tentatives avant de « soupçonner » une fraude (une centaine d'entre elles permettent ainsi de tester tous les codes CVV sur une carte). Enfin, contrairement à Mastercard, Visa n'avait pas prévu de limitation globale du nombre de demandes d'autorisation, qu'elle centralise pourtant…
Passons sur la réaction incompréhensible de Visa (affirmant que ses moyens de protection sont suffisants, alors que leurs carences sont évidentes). L'entreprise ne paraît donc pas encline à instaurer une mesure conservatoire immédiate (espérons que ce ne soit qu'une posture). Quelles autres solutions pourraient être mises en œuvre ? Malheureusement, rien de très efficace à court terme. La mise en place de contrôles au niveau des plates-formes de e-commerce ne fera, au mieux, que ralentir les criminels.
Même la tendance actuelle à la généralisation de la « tokenisation » (qui évite de faire circuler des informations de paiement réutilisables sur les réseaux) – illustrée récemment par un accord d'interopérabilité entre Mastercard et Visa – ne pourra avoir un impact sensible avant longtemps. En effet, tant que les commerçants ne seront pas contraints de l'adopter (ce qui n'est apparemment pas une option), il subsistera des cibles faciles pour les fraudeurs, mettant en défaut les nouveaux mécanismes de sécurité.
En attendant une vraie transformation des paiements capable d'interdire toute attaque, à la source (ce qui reste une illusion, pour l'instant), il existe tout de même des techniques – notamment dans le domaine de l'analyse de données, sans même parler d'intelligence artificielle – susceptibles d'éviter des scénarios du type de celui qui a frappé Tesco Bank. Il y a urgence à agir car, bientôt, les consommateurs ne toléreront plus ce qui leur apparaîtra comme des négligences manifestes de la part des institutions financières.