Edito


Bonjour à toutes et à tous,

En cette période estivale, notre vigilance est toujours mise à rude épreuve comme vous pourrez le constater au fil des sujets de cette 26ème édition de notre Newsletter Cyber. Les phishing ou smishing (SMS) relatifs au compte personnel de formation (CPF) vont toujours bon train et les attaques cyber sont toujours aussi intenses, comme vous pourrez le voir avec le sujet sur la Lituanie.

Vous aurez aussi sans doute remarqué quelques changements significatifs pour votre banque durant cette période, comme le nouveau nom de domaine pour nos mails (@ca-pyrenees-gascogne.fr) plus en adéquation avec les standards actuels et une toute nouvelle application Ma Banque, plus simple et ergonomique, qui profite au passage des dernières évolutions en matière de sécurité, comme vous pourrez le voir dans l’article qui lui est consacré.

Très bel été et bonne lecture !

Christophe Borry

CISO (Chief Information Security Officer) du Crédit Agricole Pyrénées Gascogne

 

BON A SAVOIR
La nouvelle application « Ma Banque »

 

Vous le savez, les pirates informatiques ne cessent de créer des mails de phishing qui renvoient leurs potentielles victimes vers de faux sites à l’image de leurs banques ou d’autres fournisseurs.

Pour éviter cet écueil, le meilleur moyen de ne pas tomber dans le piège est évidemment de se rendre dans son espace client sécurisé sans passer par le lien potentiellement dangereux présent dans les mails qui vous semblent suspects.

Mais le moyen le plus simple est encore d’accéder à vos comptes via les applications mobiles dédiées. Et ça tombe bien, l’application « Ma Banque » de Crédit Agricole Pyrénées Gascogne a évolué pour votre plus grande satisfaction depuis le mois de juin.


Pourquoi avez-vous tout intérêt à mettre à jour votre téléphone ?

La réponse tient en deux mots : Ma Banque.

L’appli Ma Banque a évolué en juin pour faciliter la vie de nos clients et être au plus près de leurs attentes !

Elle est disponible à partir des versions Android 8.0 et iOS 13.0. Alors, pour en profiter, pensez à mettre à jour votre téléphone.

Mais qu’est-ce qui change avec la nouvelle version Ma Banque ?

  • Une meilleure navigation : les actions principales sont accessibles directement depuis la page d’accueil : raccourcis et barre de navigation permettent d’accéder en un clic à la consultation des comptes, à la gestion des cartes, à l’univers virement et à la page contact…
  • Une application plus personnalisée : une appli qui ressemble à nos clients : ses contenus sont personnalisés et contextualisés avec des alertes et des notifications qui sont utiles au quotidien.
  • Des interactions favorisées : elle nous rapproche aussi en permettant aux clients de joindre leurs conseillers et de dialoguer plus facilement avec eux. Car derrière le digital, il y a avant tout une relation humaine.

Découvrez toutes les nouveautés sur notre page dédiée : https://www.credit-agricole.fr/ca-pyrenees-gascogne/particulier/applications/ma-banque.html

INDICATEURS SECURITE

 

  • 9 français sur 10 ont déjà été confrontés à une cyberattaque (Source Cyber'Occ)
  • 24 milliards d'identifiants subtilisés lors d'attaques en ligne en 2021 (Source BFMTV)
  • 12 % de hausse des ventes en ligne au premier trimestre 2022 (Source Fevad)
  • 50% d'augmentation cette année sur les cyberattaques à destination des collectivités publiques (Source : Cybermalveillance)

EVENEMENTS

 

  • 13 sept. 22 / WebConference / DAF - Conformité et protection des données
  • 13-14 sept. 22 / Paris / FranSec: Conférence Sur La Sécurité Informatique
  • 26-27 sept. 22 / Paris / Big Data et AI Paris
  • 12-15 oct. 22 / Monaco / Assises de la Cybersécurité


C'EST ARRIVE AILLEURS
La Lituanie visée par une Cyberattaque

En marge du conflit Russo-Ukrainien, se déroule une autre guerre plus silencieuse mais tout aussi dangereuse, qui vise à déstabiliser les opposants au régime Russe. Cette cyberguerre vient de faire une nouvelle victime, l’État Lituanien qui, fin juin, a essuyé une cyberattaque majeure sur ses infrastructures gouvernementales mais également sur des entreprises stratégiques.

Attaque DDoS :

L’offensive a été la fois fulgurante et dévastatrice. Il s’agit d’une attaque par « Déni de Service Distribué » ou attaque DDoS (Distributed Denial of Service) qui a frappé le pays. Ce type d'attaque consiste à envoyer de multiples requêtes à la ressource Web attaquée dans le but d'entraver la capacité du site Internet à gérer les requêtes et ainsi bloquer son fonctionnement en raison de la surcharge de demandes.

Celle-ci est la dernière d'une série d'attaques DDoS contre des cibles collatérales du conflit russo-ukrainien.

"Les principales cibles sont les institutions de l'État, les institutions de transport, les sites Web des médias", a déclaré la vice-ministre de la Défense, Margiris Abukevicius.

Même si jusqu'à présent, les cyberattaques consécutives au conflit en Ukraine ont été moins destructrices que ne l'avaient prédit de nombreux analystes, celle-ci est singulière par le nombre de cibles qui ont été visées.

Peu de temps après le lancement de l’attaque, le groupe de hackers russe Killnet, a revendiqué en être à l’origine, affirmant que c'était en représailles à l’hostilité montrée par Vilnius à l’égard du pouvoir Russe.

Kaliningrad :

Plus tôt durant le mois de juin, la Lituanie a imposé un blocus restreignant le transport d'acier et d'autres métaux entre Kaliningrad et le reste de la Russie à travers ses frontières. Pour mémoire, la flotte navale russe en mer Baltique est basée à Kaliningrad.

Tout ceci semble être une réaction à la querelle diplomatique entre la Russie et la Lituanie concernant l'enclave russe de Kaliningrad.

Ce lieu hautement symbolique est situé sur les rives de la mer Baltique et faisait auparavant partie de l'Allemagne avant la Seconde Guerre mondiale, puis de l'Union soviétique. Kaliningrad a ensuite été coupée de la Russie après l'indépendance de la Lituanie en 1990 car il n'y avait pas de routes terrestres.

Après l'invasion de l'Ukraine par la Russie, la Lituanie a soutenu l'interdiction de l'UE sur les exportations russes après sa mise en œuvre sur les territoires de l'UE et a bloqué le transport de matériaux clés comme les métaux, le charbon et les matériaux de construction vers Kaliningrad. Cette décision a provoqué l’exaspération du Kremlin.

Si cette attaque n’a pas entravé à moyen terme l’État lituanien, on peut certainement y voir une démonstration de force de la Russie, un avertissement à tous les pays qui s’opposeraient à son action.

  

CA N'ARRIVE PAS QU'AUX AUTRES
Piratage du site Ameli ?

Fin juin, de nombreux sites d’information relayaient une info plutôt inquiétante concernant le site internet de l’assurance maladie, le site Ameli.fr.

Selon les premières informations publiées par Zataz, le site de l’Assurance Maladie aurait été victime d’une cyberattaque occasionnant le vol de données de plus d’un million d’assurés. Les sites spécialisés faisaient alors état d’une attaque d’ampleur avec la mise à disposition des données personnelles et coordonnées bancaires subtilisées sur le Darkweb, en vente au plus offrant...

Si ce n’est pas la première fois que le site Zataz est cité pour ce genre de fuite de données, cette fois-ci l’information semblait être un tuyau percé !

Zataz :

Zataz est un site web français d'information, sorte de « lanceur d’alerte » traitant principalement de la délinquance informatique. Son but est d’assurer la surveillance des crimes et délits informatiques. Il est souvent cité pour avoir été le premier à mettre en lumière des piratages d’ampleur.
C’est par un article publié le 23 juin que celui-ci a indiqué la possibilité d’un piratage du site Ameli.fr.

C’est à la suite du signalement d’un message rédigé par un pirate informatique sur le réseau Social Telegram que le site Zataz a tiré la sonnette d’alarme. Le hacker se vantait de détenir les données d’un million d’utilisateurs du site Ameli.fr et proposait de les céder pour la modique somme de 6000 dollars. Le journaliste de Zataz précisait cependant qu’il était fort possible que l’attaque revête la forme d’une campagne de phishing ciblée plutôt qu’une attaque directe sur l’infrastructure du site de l’assurance maladie.

À la suite de cet article, l’information s’est répandue comme une trainée de poudre, diffusée et reprise par de nombreux médias sans autre forme de procès.

Pourtant, la première des précautions à prendre aurait été de contacter l’assurance maladie pour vérifier la véracité des faits. Le site Numérama, spécialisé dans l’actualité sur la Cybersécurité, a pu rapidement contacter le responsable communication de l’organisme de santé qui lui a répondu : « Nous signalons qu’aucune nouvelle attaque récente n’a été constatée par les outils de supervision déployés sur les systèmes informatiques de l’Assurance Maladie (…). Il est néanmoins possible d’affirmer que cette liste - si elle existe - ne provient pas d’une nouvelle attaque à l’encontre de l’Assurance Maladie. L’Assurance Maladie n’a pas constaté de vol dans ses systèmes de données d’identifiants de connexion au compte Ameli. ».

Fausse alerte donc, mais sachez toutefois qu’une campagne de « smishing » (phishing par sms) est en cours concernant le renouvellement de carte vitale ou l’actualisation des données Ameli. Soyez prudents, donc !

 

  

C'EST ARRIVE PRES DE CHEZ VOUS
Phishing La Banque Postale

C’est un fait avéré, les banques sont la cible privilégiée des cybercriminels qui produisent en masse des mails de phishing . La Banque Postale ne fait pas exception à la règle, elle est justement la cible de cette campagne qui est tombée un peu à côté de son objectif avec notre cliente qui ne détient pas de compte dans cet établissement.

Une rapide vérification de l’adresse du site (avec un passage de souris sur le lien) lève rapidement le masque sur l’aspect frauduleux du mail. Le lien pointe vers un site hébergé par Google et non par la Banque Postale.

Pourquoi donc a-t-elle reçu ce message ? La réponse est relativement simple : les pirates, à l’instar des pêcheurs au filet, « arrosent » de mails des centaines, voire des milliers de potentielles victimes, en misant sur le fait qu’au travers de ces campagnes, certains destinataires détiennent bien des comptes dans la banque ciblée.
 
C’est pour la même raison que, pour éviter d’avoir trop de « déchets », les pirates visent en général les grandes banques (comme le Crédit Agricole) qui détiennent beaucoup de clients.
 

  

LE SUJET DU MOIS
Vers la fin des mots de passe ?

Un monde où l’identification des utilisateurs ne s'appuiera plus sur des mots de passe est en train de se profiler après que les géants de l’industrie numérique ont annoncé leur intention d'étendre la prise en charge d'une nouvelle norme de connexion universelle, sans mot de passe.

Ce nouveau processus d’authentification permettra aux sites Web et aux applications d'offrir aux utilisateurs des connexions sans mot de passe qui se voudront cohérentes, sécurisées et pratiques sur tous les appareils et toutes les plates-formes.

Selon la FIDO Alliance, à l’origine de cette petite révolution, l'authentification par mots de passe est l'un des plus gros problèmes de sécurité sur le Web. La gestion de ces multiples sésames est fastidieuse pour les utilisateurs, ce qui les conduit souvent à réutiliser les mêmes pour tous leurs comptes. Cette pratique est évidemment à proscrire car en cas de vol d’un seul mot de passe, l’ensemble des comptes où ce dernier est réutilisé est menacé.

Une première avancée a été faite avec les gestionnaires de mots de passe et les processus d'authentification à deux facteurs qui offrent des améliorations progressives de sécurisation des connexions. Mais selon les professionnels de la Cybersécurité, ce n’est pas suffisant… C’est pourquoi un consensus est né au sein des grands acteurs de l’industrie digitale pour créer une technologie de connexion plus pratique et plus sécurisée. Celle-ci a pris la forme de l’alliance FIDO.

Qu’est-ce que l’initiative FIDO?

L’Alliance FIDO (Fast IDentity Online - pour Identification Rapide en Ligne) est une organisation à but non lucratif créée en juillet 2012 dont l’objectif initial était de remédier au manque d’interopérabilité entre les dispositifs d’authentification forte. Il s’agissait surtout de trouver une solution pérenne et durable aux problèmes auxquels les utilisateurs sont confrontés lors de la création et de la mémorisation des multiples identifiants et mots de passe qu’ils détiennent.

L'Alliance FIDO compte plus de 250 membres, pour la plupart des leaders mondiaux de la technologie avec notamment des sociétés telles que Apple, Microsoft, Facebook, Google, Amazon, mais également des géants des moyens de paiement à l’instar de Mastercard, American Express, VISA, PayPal…

Le but de l’Alliance FIDO est de changer la nature même de l’authentification en développant des spécifications universelles qui définissent un ensemble ouvert, évolutif et interopérable de mécanismes. La finalité étant de supplanter in fine le recours aux mots de passe comme seul moyen d’authentification.

Les principes généraux

Cette nouvelle norme pour les dispositifs de sécurité et les plugins de navigateur permettra à n’importe quel site Web ou service en ligne (Cloud) de pouvoir interagir avec une grande variété d’appareils compatibles avec le protocole FIDO dont dispose l’utilisateur pour la sécurité en ligne.

Les protocoles FIDO sont conçus dès le départ pour protéger la vie privée des utilisateurs. Les données sensibles telles que les empreintes biométriques et les codes PIN ne quittent jamais l’appareil de l’utilisateur pour s’assurer qu’elles ne peuvent pas être interceptées ou compromises par un attaquant.

Pour authentifier un utilisateur, le « tiers de confiance », autrement dit l’appareil de l’utilisateur utilisant le protocole (smartphone, montre connectée, tablette, pc…) transmet une clé cryptographique à l’authentificateur enregistré et évalue la réponse pour déterminer l’authenticité des informations d’authentification stockées sur l’appareil client et utilisées pour produire la réponse.

Mécanisme de l’authentification FIDO

L’authentification FIDO nécessite une phase d’enregistrement initiale. Dans les cas où l’appareil choisi prend en charge plusieurs formes d’authentification (lecture d’empreintes digitales, reconnaissance faciale, reconnaissance vocale etc…), l’utilisateur est invité à choisir un mode d’identification matérielle de son appareil conforme à FIDO parmi les options disponibles. L’utilisateur déverrouille ensuite l’authentificateur FIDO (le mode d’authentification choisi sur l’appareil), par exemple en fournissant une empreinte digitale, en appuyant sur un bouton d’un appareil à deuxième facteur ou en entrant un code PIN.

Une fois déverrouillé, l’appareil de l’utilisateur crée une nouvelle paire de clés cryptographiques publique/privée unique qui sera utilisée pour authentifier l’accès au service désiré (ses différents comptes client). La clé publique est ensuite envoyée au service en ligne et associée au compte de l’utilisateur. Le gros avantage réside dans le fait que la clé privée et toutes les autres données sensibles liées à la méthode d’authentification choisie restent sur l’appareil local et ne le quittent jamais.

Pour résumer, les utilisateurs se connecteront avec la même facilité que celle qu’ils rencontrent plusieurs fois par jour pour déverrouiller leurs appareils, comme une simple vérification de leur empreinte digitale ou de leur visage ou un code PIN de l'appareil.

Une révolution ?

Le principal problème lié aux mots de passe, si l’on fait exception de l’aspect robustesse de ces derniers, c’est que ce sont des clés « immatérielles » facilement transférables, interceptables, ou qui peuvent être déchiffrées.

C’est une réelle inquiétude de nos jours, dans le cas où un cybercriminel se procure à votre insu un de vos mots de passe, il peut l’utiliser sans que vous en ayez conscience et avant que vous ne puissiez intervenir.

Le protocole FIDO apporte le double avantage de sécuriser par une identification fiable les connexions (par exemple les données biométriques qu’un pirate ne pourra pas dupliquer) mais également de transformer vos appareils en véritables clés sécurisées qui, même en cas de perte ou de vol, nécessitent la présence de l’utilisateur pour rendre possible tout usage de cette méthode d’authentification.

Il s’agit là sans nul doute d’une petite révolution dans nos habitudes d’identification et plus largement d’une grande simplification de nos usages en matière de connexions sur l’ensemble de nos services. Pour autant ne perdez pas de vue que la vigilance devra rester le maitre mot de votre Cybersécurité : on peut disposer de la porte d’entrée la plus blindée du monde, si l’on confie la clé à des cambrioleurs, ceux-ci vont en faire bon usage croyez-moi !

Retrouvez les anciennes editions