L’apport d’une gestion décentralisée des identités dans la lutte contre la fraude bancaire par les attaques : smishing, phishing, quishing, et vishing

Préambule 

Dans le domaine de la fraude bancaire, les attaques d’ingénierie sociale se présentent sous diverses formes, notamment les phishing, quishing, smishing, et vishing. Ces tactiques astucieuses, prétendues provenir de la banque des victimes, ciblent spécifiquement les données personnelles et financières des clients et souvent par le biais d’un mail avec un lien et/ou un QR Code malveillant, d'appels téléphoniques ou de SMS.

Les fraudeurs utilisent habilement des techniques d’ingénierie sociale pour susciter un faux sentiment d’urgence, informant le client par exemple que sa carte bancaire, son compte ou son accès en ligne a été bloqué ou gelé en raison d'une "activité inhabituelle" ou de transactions frauduleuses. Sous l’effet de la précipitation, la victime sans méfiance divulgue des détails privés.

Ce qui rend ces menaces plus difficiles qu'elles ne le sont déjà, est la capacité de l'attaquant à utiliser les données de contacts (mail, numéro d’appel ou du SMS entrant) comme s'ils provenaient directement de la banque. Cela se produit grâce à des outils d’usurpation d’identité assez simples à utiliser et hautement accessibles aux cybercriminels. Comme il existe de nombreuses formes de fraude par ingénierie sociale, il existe également de nombreuses formes d’usurpation d’identité utilisées à des fins frauduleuses. L'usurpation d'identité de l'appelant est étroitement liée aux types d’attaques.

Pour le client bancaire, un appel entrant provenant d’un numéro de téléphone familier ne constitue pas une menace. Comme le numéro de téléphone affiché provient d’une source fiable, cela facilite grandement le travail du malveillant.

Malheureusement, malgré les compagnes de sensibilisation menées par les banques et l’état contre l'usurpation d'identité des appelants (banques) et appelant à rester extrêmement vigilant et surtout de s’abstenir de partager des données sensibles, l’erreur étant humaine, le phénomène continue encore à faire des victimes.

Au travers de cette publication, je partage avec mes lecteurs tout ce qu’il faut savoir sur la fraude bancaire par des attaques de type phishing, quishing, smishing, et vishing. De quel phénomène s’agit-il exactement, comment fonctionnent ces attaques. Et surtout, comment la gestion décentralisée des identités permet de protéger une banque et ses clients contre ce nouveau fléau, en instaurant une authentification mutuelle instantanée par échange cryptographique.

Comment les victimes sont piégées ?

Comme annoncé, ces attaques ont pour objectif la collecte d’informations personnelles en vue de mener une cyberattaque à l’aide d’informations d’identification compromises. Tout le monde a entendu parler de ces phénomènes, mais comme pour tout ce qui touche à la cybersécurité, les malveillants sont toujours à la recherche de moyens plus efficaces, plus faciles ou complémentaires pour mener à bien leurs attaques.

Avant de rentrer dans le vif du sujet, nous donnons ci-après la définition de ces phénomènes et comment anticiper et prévenir ces types d’attaques en comprenant les méthodes utilisées par les cybercriminels et en sachant comment les repérer.

• Phishing : une méthode de cyberattaque qui tente de tromper les victimes en les incitant à cliquer sur des liens frauduleux inclus dans des e-mails. Les mails semblent provenir de la banque de la victime et ont généralement un caractère d’urgence. Le lien conduit automatiquement la victime vers ce qui ressemble à un formulaire ou le site web légitime de la banque qui demande des informations personnelles identifiables telles que le nom d’utilisateur, le mot de passe, les numéros de compte ou d’autres informations privées. Ces informations sont ensuite envoyées directement au cybercriminel sans que la victime ne se rende compte qu’elle a été trompée. Le lien peut également déployer des maliciels, des rançongiciels, des logiciels espions et d’autres logiciels malveillants sur le device utilisé (desktop, tablette, smartphone, etc.).
•  Quishing : aujourd’hui, on assiste aussi au phénomène du quishing, également connu sous le nom de phishing par QR Code, et qui consiste à inciter un client à scanner un QR Code à l'aide d'un téléphone mobile. Le QR Code dirige ensuite la victime vers un site web frauduleux susceptible de télécharger des logiciels malveillants ou de demander des informations sensibles.
• Smishing : s’agissant d’une combinaison des mots "SMS" et "phishing", il ressemble au phishing, sauf qu’il se présente sous la forme d’un message texte (SMS). Un texte de smishing contient souvent un lien frauduleux qui conduit les victimes vers un formulaire ou vers le site web de la banque utilisé pour voler leurs informations. Comme pour l’hameçonnage, le lien peut également télécharger des logiciels malveillants, des rançongiciels, etc., sur le device de la victime.

Alors que de plus en plus de personnes utilisent leur smartphone personnel pour le travail, le smishing constitue désormais une menace tant pour les particuliers que pour les entreprises. Il n'est pas surprenant que le smishing soit devenu la principale forme de message texte malveillant. À mesure que l’utilisation des appareils mobiles augmente, la cybercriminalité ciblant les appareils mobiles est également en hausse. L’envoi de SMS est l’utilisation la plus courante des smartphones, ce qui fait du smishing une menace dangereuse pour la sécurité.

•  Vishing : les appels téléphoniques ou les messages vocaux frauduleux relèvent de la méthode d’attaque par hameçonnage vocal. Les escrocs contactent les clients, souvent au moyen d’appels téléphoniques préenregistrés, en se faisant passer pour un agent du CRC (Centre de la Relation Client) de la banque afin d’obtenir des informations personnelles de la victime.

Conséquences commerciales du smishing et du vishing dans le secteur bancaire

Vous imaginez bien que ces attaques ne sont pas neutres et présentent de lourdes conséquences avec des impacts directs sur : 1) la satisfaction clientèle, 2) le risque réputationnel et 3) sur le volet financier.

Sur ce dernier point, la Commission Européenne, du 28 juin 2023, a été très claire au niveau de la 3ème directive sur les services de paiement DSP3. Cette dernière a été introduite afin de s'attaquer aux défis identifiés dans le cadre de la DSP2, tels que la protection des consommateurs et la prévention de la fraude à travers une authentification forte du client (SCA : Strong Customer Authentication) basée sur le risque. Par conséquent, si la banque ne dispose pas de mécanismes de sécurité appropriés, elle est responsable de toute fraude résultant de tentatives d'ingénierie sociale.

Comment est-il possible de les éradiquer ? 

J’imagine que vous avez identifié le problème avec ces attaques. La raison pour laquelle celles-ci fonctionnent est qu’il n’existe actuellement aucun moyen efficace d’identifier les personnes qui prétendent être en ligne. Les mots de passe et les identifiants sont susceptibles d'être perdus, volés ou copiés, et même en supposant qu'ils soient sécurisés, ils ne sont efficaces que dans un sens, à savoir, par exemple, lorsque le client essaie d’entrer en contact avec sa banque.

Si la banque ou quelqu’un prétendant être un agent du CRC de la banque, tente de contacter un client, ce dernier doit faire preuve d’une forte vigilance pour s'assurer que le message est authentique et émane bien de sa banque.

À mon humble avis, ce type d’attaques peuvent être éliminé avec des informations d'identification vérifiables et une identité décentralisée. La banque peut être absolument certaine qu'un client titulaire de compte est réellement le détenteur de ce dernier, et réciproquement un titulaire de compte peut être absolument certain qu'il interagit avec sa banque ou un agent du CRC de cette dernière. Cette authentification mutuellement assurée est prouvée instantanément par échange cryptographique et se produit avant que toute information ne soit partagée.

Bien que connu auprès de certains passionnés de la décentralisation des identités, et afin de bien comprendre l’apport de la décentralisation des identités/SSI (Self Sovereing Identity) dans la lutte contre la fraude par les attaques évoquées ci-dessus, je propose aux lecteurs des définitions simples de tout ce qui est l’identité décentralisée et comment fonctionne le monde numérique dans un écosystème décentralisé.

Qu'est-ce que l'identité décentralisée (SSI) ? : l’Identité auto-souveraine ou SSI fait référence à une approche décentralisée dans laquelle un client d’une banque ne dépend pas d'un tiers. Elle peut stocker en toute sécurité ses informations d'identité sur son Wallet personnel qui peut être régalien ou privé à l'aide d’échanges cryptographiques. En outre, il peut spécifiquement divulguer des données personnelles à des organismes ou prestataires de services dignes de confiance.

La SSI prend ainsi en compte les problèmes de confidentialité et de sécurité associés aux systèmes d’identité centralisés et fédérés. Ceux-ci stockent souvent des données personnelles dans des bases de données centrales vulnérables aux violations et aux utilisations abusives.

Le Decentralized Identifier (DID) ou identifiant décentralisé : permet de désigner une personne, mais aussi une entreprise, une institution ou encore un objet. On peut alors posséder un identifiant sécurisé et unique notamment pour s’authentifier auprès d'un service en ligne tout en gardant la propriété de ses données et en faisant reposer la confiance des différentes parties prenantes (client et sa banque) dans cet identifiant grâce au principe de décentralisation.

Un même client peut posséder plusieurs identifiants et les gérer en toute autonomie. Il peut ainsi utiliser le DID qui lui convient en fonction de la situation et ainsi contrôler ses données personnelles tout en attestant de son identité de manière sécurisée.

Un DID se présente le plus souvent sous d’URL composée de trois parties : 1) un préfixe référencé « did », 2) la définition de l’implémentation du DID : on peut retrouver les termes « ethr » pour la blockchain Ethereum, « th » pour Tezos ou encore « ion » pour Bitcoin, et 3) un identifiant unique.

Ainsi chaque individu reste maitre des informations qu’il divulgue grâce à l’utilisation de cette URL unique et propre à chacun. L’identité numérique liée à l’URL est par ailleurs vérifiable et décentralisée ce qui permet de profiter d’un système complètement sécurisé.

Comment fonctionne le monde numérique décentralisé ? : dans le monde numérique, le potentiel de la SSI peut être pleinement exploité car les parties impliquées sont connectées les unes aux autres dans un environnement sécurisé. Dans ce monde numérique, trois rôles sont définis : Titulaire, Émetteur et Vérificateur.

Comme le propose la figure suivante, l'émetteur est une organisation qui délivre des titres vérifiables/des VC (Verifiable Credentials), par exemple France Identité. Le titulaire (le client de la banque, dit titulaire pour sa détention du Wallet) est au centre du système SSI. Il stocke au niveau de son Wallet les informations d'identification vérifiables (VC), par exemple l'identité, les certificats ou l'adresse privée, dans son Wallet, le cœur du SSI. La banque est le vérificateur. Elle authentifie le titulaire (client de la banque) avant de lui donner accès.

À noter, 1) qu’un justificatif vérifiable (VC) peut représenter les mêmes informations qu'une preuve matérielle. Grâce à des technologies telles que les signatures électroniques, les informations d’identification vérifiables (VC) sont mieux protégées contre la manipulation et plus fiables que les preuves physiques comparables. 2) Le Wallet, dans lequel le client de la banque stocke ses informations d’identification sur son propre smartphone, constituent la principale caractéristique différenciante de l’identité décentralisée/SSI. Comme évoqué, la SSI résout ainsi un problème élémentaire de protection des données des modèles d'identité centraux et fédérés et ouvre en même temps de nouvelles possibilités d'utilisation des identités et des documents officiels. 

Des informations d'identification vérifiables et des identifiants décentralisés (DID) rendent cela possible. Les informations d’identification vérifiées représentent numériquement des informations ou des caractéristiques personnelles. Ils sont délivrés par une autorité digne de confiance (cas de France Identité) et peuvent être vérifiés de manière indépendante. Les identifiants décentralisés (DID) sont une forme d'identifiants numériques uniques indépendants d'une autorité centrale.

Comment la SSI mettrait fin aux attaques ?

En équipant les clients de la banque d’un Wallet régalien - qui peut être celui de France Identité - ou un Wallet d’un acteur privé conforme ARF (Architecture and Reference Framework) et eIDAS2.

En effet, le Wallet d'un client est capable de créer un canal de communication sécurisé directement avec la banque. Le Wallet du client crée un identifiant décentralisé (un DID : Decentralized Identifier) et utilise ce DID pour se connecter au DID de la banque via le canal de communication direct et sécurisé créé dit "DIDComm Messaging" (figure ci-dessus).

Chaque DID possède une clé cryptographique publique associée à une clé cryptographique privée permettant de crypter et décrypter les échanges de données entre le client et sa banque et inversement.

Lorsque le client, via son Wallet, entre en contact avec le DID de sa banque, il utilise la clé publique de la banque pour crypter son message. Seule sa banque dispose de la clé privée pour décrypter son message. Si la banque répond à son message, il sait qu'elle contrôle le DID de la banque. Et comme il utilise son DID pour se connecter à sa banque, cette dernière peut également vérifier qu’il contrôle le DID au nom du client et qu’il est donc le propriétaire du compte. 

Cette authentification mutuelle des deux parties, se produit instantanément et par le biais du canal de communication créé "DIDComm Messaging". Elle permet ainsi de créer : 1) un climat de confiance mutuelle, 2) avec un parcours rendu plus fluide et plus agréable qu’un parcours digital intégrant une MFA (Multi Factor Authentication). Ce dernier nécessite à franchir plusieurs étapes d’authentification, 3) de créer un climat de confiance total et par conséquent d’apporter une réponse forte aux attaques liés aux phénomènes phishing, quishing, smishing, et vishing.

Conclusions

La fraude bancaire ne se limite pas qu’à la fraude documentaire qui est devenue malheureusement non rentable pour les malveillants et quasi révolue sur le volet technique. On ne peut pas résoudre les problèmes d’aujourd’hui avec les solutions d’hier.

Transformer l’existant encarté dans ses rituels, ses habitudes, ses logiques établies, ses frictions devenues partie intégrante d’une normalité, pour faire émerger de nouveaux fondements, de nouvelles interactions, de nouveaux usages, de nouveaux procédés, qui donneront naissance à une nouvelle génération de propositions de valeur, requiert de penser autrement. Y compris de penser autrement que son propre client. Les clients de vos produits et services peuvent facilement décrire et exprimer leur besoin mais uniquement dans la limite de ce qu’ils voient et de ce qu’ils connaissent du présent. Ils peuvent difficilement le faire en transcendant cette limite.

Le monde a évolué et à l'ère numérique, les corporates bénéficieraient grandement d'un niveau accru de garantie de l'identité, seraient en mesure d'interagir en toute sécurité avec les clients, et pourraient réduire la charge administrative, à l’Onboarding et tout au long de l’Ongoing, lors de la vérification continue des informations d'identification.

Aujourd’hui, nier les potentiels de la décentralisation et ne pas s’armer pour le futur serait une erreur stratégique pour préparer l’avenir. La décentralisation devient une solution potentielle, qui gagne du terrain et du soutien dans le monde entier. Cette avancée vers une identité numérique auto-souveraine (SSI) fondée sur la confiance et la sécurité et soutenue par la technologie de la blockchain, procure aux utilisateurs un contrôle sur leur identité et les informations partagées. Elle permet aussi, comme décrit au niveau de cette publication, de résoudre les défis liés à l’authentification et au stockage sécurisé des données.

Préparez-vous pour l’avenir, il se fera avec des identités et des écosystèmes décentralisés.