La banque par internet en toute sécurité conférence de presse 13.06.2012

23
Sécurité de la banque par internet, l’affaire de tous Filip Dierckx, Président de Febelfin Febelfin, 13 juin 2012

Transcript of La banque par internet en toute sécurité conférence de presse 13.06.2012

Page 1: La banque par internet en toute sécurité   conférence de presse 13.06.2012

Sécurité de la banque par internet, l’affaire de tousFilip Dierckx, Président de FebelfinFebelfin, 13 juin 2012

Page 2: La banque par internet en toute sécurité   conférence de presse 13.06.2012

2

ORDRE DU JOUR

Febelfin | 13 juin 2012

I. StatistiquesII. La fraude “multi-canaux” apparaîtIII. La sécurité, c'est l'affaire de tousIV. En Belgique, la banque par internet fait l'objet :

• d’un site web www.safeinternetbanking.be

• d’une collaborationV. Conclusion

Page 3: La banque par internet en toute sécurité   conférence de presse 13.06.2012

3

I. Statistiques

Febelfin | 13 juin 2012

Page 4: La banque par internet en toute sécurité   conférence de presse 13.06.2012

4

La banque par internet de plus en plus populaire

Febelfin | 13 juin 2012

La banque par internet, un moyen sûr, simple et rapide de réaliser ses opérations bancaires

2003 2004 2005 2006 2007 2008 2009 2010 20110.0

1.0

2.0

3.0

4.0

5.0

6.0

7.0

8.0

9.0

1.82.4

3.0

3.8

4.6

5.7

6.67.4

8.1

2003 2004 2005 2006 2007 2008 2009 2010 20110

50

100

150

200

250

300

350

400

450

500

108

179221

309

383401

425 432460

Nombre d’abonnements (en mio)

Nombre de sessions enregistrées (en mio)

Page 5: La banque par internet en toute sécurité   conférence de presse 13.06.2012

5

La fraude représente 0,00006% du nombre de sessions enregistrées

Febelfin | 13 juin 2012

Fraude liée à la banque par internet en Belgique :• Pourcentage minime par rapport au nombre de sessions enregistrées• Mineure par rapport aux Pays-Bas (7.500 cas / plus de 35 mio EUR en 2011)

BrutNet

(après déduction des

fonds récupérés)

2006 2007 2008 2009 2010 2011 01 à 05 2012 inclu

0

50

100

150

200

250

300

2148 37

3 1

94

261

Nombre de fraudes

2006 2007 2008 2009 2010 2011 01 à 05 2012 inclu

0

100,000

200,000

300,000

400,000

500,000

600,000

700,000

800,000

119,740

549,528

172,071

8,023 0

175,332

715,081

Perte due à la fraude (en euro)

Page 6: La banque par internet en toute sécurité   conférence de presse 13.06.2012

6

II. La fraude “multi-canaux” apparaît

Febelfin | 13 juin 2012

Page 7: La banque par internet en toute sécurité   conférence de presse 13.06.2012

7

Fraude via malware

= appellation générique qui désigne les logiciels malveillants qui ont un impact sur l’utilisation normale des processus informatiques et qui, au cours d'une session de banque par internet, peuvent par exemple :

• Faire apparaître un pop-up (cf. communiqués de presse de Febelfin été 2011)

• Faire apparaître une page factice

• Exemple sur www.safeinternetbanking.be

Febelfin | 13 juin 2012

• Bonne protection de l'ordinateur, comme un scanner anti-virus à jour

• Ne pas donner suite aux scénarios "anormaux"

• En cas de doute, mettre un terme à l'opération et prendre contact avec la banque

Malware

Page 8: La banque par internet en toute sécurité   conférence de presse 13.06.2012

8

Evolution vers une fraude "multi-canaux"

en combinaison avec

= logiciel malveillant utilisé en combinaison avec une technique consistant pour le fraudeur à se faire passer pour quelqu’un d’autre, à abuser des gens pour leur soutirer des informations qu’il ne pourrait sinon obtenir

• Exemple : L’ordinateur de Pierre n’était pas assez bien protégé et a été infecté par un “malware” qui renseigne avec précision le fraudeur sur le moment où Pierre lance une session de banque par internet. La session étant ouverte, Pierre reçoit un appel de quelqu’un se faisant passer pour un collaborateur de la banque. Le message est le suivant : “Vous avez une session de banque par internet en cours et pour des raisons de sécurité, vous devez me transmettre votre signature électronique”. Sans méfiance, Pierre s’exécute. Ainsi, le fraudeur peut effectuer un faux virement.

Febelfin | 13 juin 2012

• La banque n’appelle jamais le client pour lui demander des données personnelles et/ou une signature électronique !

Contact téléphonique

(forme d’ingéniérie sociale)

Malware

Page 9: La banque par internet en toute sécurité   conférence de presse 13.06.2012

9

1.Courriel de la “banque” signalant que la banque installe de nouveaux logiciels de sécurisation & demandant de cliquer sur un lien.

2.Faux site internet de la “banque” avec invitation à compléter les données suivantes : numéro de carte, date de naissance, code postal et numéro de téléphone

3.Contact téléphonique pris par les fraudeurs avec le client afin de lui faire effectuer des manipulations avec la carte et le lecteur de carte

Evolution vers une fraude "multicanaux"

en combinaison avec

Febelfin | 13 juin 2012• La banque n’envoie jamais de courriel, ni ne téléphone pour obtenir des données personnnelles et/ou une signature électronique !

• Voir aussi récemment phishing au niveau du SPF Finances

Phishing (forme

d’ingéniérie sociale)

Contact téléphonique

(formed’ingéniérie sociale)

Page 10: La banque par internet en toute sécurité   conférence de presse 13.06.2012

10

Recours croissant aux passeurs (mules) ou money mules • Passeurs (mules) ou money mules

= personnes qui servent d’intermédiaires à des organisations criminelles ou à des malfaiteurs. Ils renvoient, généralement sans le savoir (mais pas toujours), des fonds versés frauduleusement sur leur compte vers celui des fraudeurs. Le détour par des intermédiaires rend plus difficile l’identification du fraudeur.

• Messages ressemblant souvent à des offres d’emploi :

Febelfin | 13 juin 2012

Page 11: La banque par internet en toute sécurité   conférence de presse 13.06.2012

11

III. "La sécurité, c'est l'affaire de tous"

Febelfin | 13 juin 2012

Page 12: La banque par internet en toute sécurité   conférence de presse 13.06.2012

12

6 Belges sur 10 ne s'inquiètent guère de la protection de leur ordinateur

• C’est ce qui ressort du Unisys Security Index, une enquête semestrielle réalisée au niveau international et portant sur divers aspects de sécurité, dont l’e-security.

Febelfin | 13 juin 2012

Source : Unisys Security Index

Page 13: La banque par internet en toute sécurité   conférence de presse 13.06.2012

13

Sécuriser les opérations en ligne ? Pour plus de 6 Belges sur 10, c'est l'affaire des banques ou des pouvoirs publics

• 67% des Belges estiment que la protection de leurs données personnelles et la sécurité de leur opérations en ligne est l’affaire de leur banque ou des pouvoirs publics (Unisys Security Index).

Febelfin | 13 juin 2012Source : Unisys Security Index

Page 14: La banque par internet en toute sécurité   conférence de presse 13.06.2012

14Febelfin | 13 juin 2012

"La sécurité, c'est l'affaire de tous"

Et de la banque

Et du client

Page 15: La banque par internet en toute sécurité   conférence de presse 13.06.2012

15

Sécurité, l'affaire de la banque

• Les banques belges prennent en permanence des mesures pour assurer aux opérations bancaires en ligne une sécurité optimale :

• Site internet sécurisé • L'adresse commence par https• Cadenas fermé en bas

• Accès personnel aux données bancaires• Clé unique – "two factor authentification" (something you have & something you know)

• Signature électronique

• Informations codées• Les informations échangées entre l’ordinateur du client et celui de la banque sont transmises sous

forme codée.

• Interruption automatique de la session de banque par internet après quelques minutes d'inactivité

• Monitoring et updating continus des systèmes

Febelfin | 13 juin 2012

Page 16: La banque par internet en toute sécurité   conférence de presse 13.06.2012

16

Sécurité, aussi l'affaire du consommateur

• Protection de l’ordinateur • Installez les logiciels de sécurisation nécessaires comme

des programmes antivirus, des firewalls, des filtres à spams et des programmes anti-malware

• Vigilance du client durant l'exécution de la session de banque par internet• Ne donnez de signature électronique que pour des ordres attendus ou demandés• Utilisez votre signature correcte pour tous les ordres

En cas de doute, stoppez immédiatement l'opération en cours et contactez la banque, surtout si le scénario de signature diffère du scénario habituel. Le client peut trouver sur le site de la banque les coordonnées du point de contact et les directives de sécurité.

• NE PAS donner suite à des courriels ou des contacts téléphoniques dans le cadre desquels des données personnelles et/ou une signature électronique sont demandées!

La banque ne demande les données personnelles et/ou une signature électronique ni par téléphone, ni par voie électronique.

• Assurer la sécurité des sessions de banque par internet• Par ex. ne pas surfer sur d’autres sites internet pendant une session de banque par internet, éviter d'utiliser des

ordinateurs publics, vérifier que l'adresse commence bien par https://, …

• Traiter les codes et mots de passe en toute confidentialité

• Contrôler régulièrement ses extraits de compteFebelfin | 13 juin 2012

Page 17: La banque par internet en toute sécurité   conférence de presse 13.06.2012

17

Sécurité, aussi l'affaire de l'utilisateur professionnel

• Communiqué de presse de Febelfin et Isabel à la mi-mai 2012

• Points d’attention pour les entreprises qui utilisent une solution professionnelle pour leurs paiements (comme Isabel ou solution de la banque) :

Febelfin | 13 juin 2012

• Veillez à bien sécuriser votre ordinateur, par ex. au moyen d’un scanner anti-virus à jour.

• Retirez toujours la carte du lecteur de carte une fois que vous avez apposé votre signature, et fermez correctement, dès après utilisation, l'application Isabel au moyen du bouton “Log-out".

• Prenez immédiatement contact avec Isabel ou votre banque si vous constatez une transaction douteuse.

Page 18: La banque par internet en toute sécurité   conférence de presse 13.06.2012

18

IV. En Belgique, la banque par internet fait l'objet :- d’un site internet- d’une collaboration

Febelfin | 13 juin 2012

Page 19: La banque par internet en toute sécurité   conférence de presse 13.06.2012

19Febelfin | 13 juin 2012

Page 20: La banque par internet en toute sécurité   conférence de presse 13.06.2012

20

Collaboration concernant la banque par internet en Belgique

Federal Computer Crime Unit

Banque Nationale

de Belgique

Febelfin

Febelfin | 13 juin 2012

Page 21: La banque par internet en toute sécurité   conférence de presse 13.06.2012

21

V. Conclusion

Febelfin | 13 juin 2012

Page 22: La banque par internet en toute sécurité   conférence de presse 13.06.2012

22

Conclusion

• La banque par internet est un moyen sûr, rapide et simple de réaliser des opérations bancaires

• La sécurité, c'est l'affaire de tous• Et de la banque• Et du client

• Bonne protection de l'ordinateur, par ex. via un scanner anti-virus à jour

• Vigilance suffisante durant la session de banque par internet et ne pas donner suite aux scénarios "anormaux"

• Ne pas donner suite aux contacts téléphoniques et aux courriels dans lesquels des données personnelles et/ou une signature électronique sont demandées

• En cas de doute, mettre immédiatement un terme à l'opération et prendre contact avec la banque

Febelfin | 13 juin 2012

Page 23: La banque par internet en toute sécurité   conférence de presse 13.06.2012

www.febelfin.be