C’est la mésaventure que tout le monde redoute: un lecteur de notre partenaire alémanique K-Tipp s’est fait vider son compte en banque, après s’être fait pirater ses données via internet. C’est en surfant sur un site totalement anodin mais infecté par un virus que ce lecteur a, bien malgré lui, été contaminé par un logiciel malveillant: le cheval de Troie Torpig/Sinoval. Les virus de ce type renvoient ensuite leur victime sur un faux site de banque. Le client, qui n’y voit que du feu, inscrit ses données et mots de passe en toute quiétude, ignorant que ceux-ci seront récupérés par les pirates. C’est la méthode dite du pharming(lire l’encadré).
Dans le cas présent, le lecteur, client d’une petite banque régionale, s’est fait plumer de 67 000 fr. Heureusement, les banques se montrent généralement conciliantes avec les victimes de piratage et créditent le compte du montant volé. En échange, les clients sont cependant priés de ne pas divulguer l’affaire. C’est en partie pour cela que l’opinion publique ignore le nombre réel de vols réalisés via internet.
Maximiser la sécurité
Les comptes en banque ne sont pas accessibles avant d’avoir passé plusieurs niveaux de sécurité: un numéro de contrat, un code secret individuel et un code aléatoire sont nécessaires. C’est pour cela que les pirates tentent de soutirer ces informations directement auprès des utilisateurs.
Afin d’utiliser l’e-banking en toute sécurité, il est donc primordial de respecter les conseils de sécurité suivants:
- ne jamais fournir de données confidentielles (numéros de compte, mots de passe, etc.) par e-mail ou sur des sites proposés par un e-mail. Peu importe l’adresse de son expéditeur, elle peut facilement être falsifiée!
- n’ouvrir aucun message de source inconnue, suspect ou dont l’objet ou la langue ne semblent pas familiers;
- éviter d’ouvrir les pièces jointes suspectes, particulièrement celles à deux extensions (par exemple «fichier.txt.pif»);
- contrôler que le site de la banque est sécurisé (indiqué par le «https» en début d’adresse et par un cadenas ou une clé);
- ne pas ouvrir d’autres pages web en même temps que celle de la banque;
- quitter le site bancaire en utilisant la fonction adéquate et non en fermant simplement la fenêtre du navigateur;
- conserver ses mots de passe en lieu sûr (lire BàS 09/2008);
- contrôler ses relevés bancaires afin de signaler à temps toute irrégularité à sa banque.
Logiciels de protection
Hormis une utilisation avisée des sites bancaires, il est essentiel de protéger son ordinateur au maximum en tenant ses logiciels à jour (messagerie, navigateur, etc.) et en installant:
- un antivirus, pour détecter et détruire les virus;
- un pare-feu ou firewall, pour empêcher les incursions de pirates sur l’ordinateur;
- un antispam, pour éviter les e-mails frauduleux;
- un antispyware, pour éliminer les logiciels espions.
De tels logiciels de protection, souvent groupés en un seul programme de sécurité, existent aussi en version gratuite pour les particuliers (liste sous www.melani.admin.ch–> Documentation –> Liens).
Yves-Alain Cornu
Techniques de piratage
Le pharming, dont a été victime notre lecteur, conduit la victime sur un site frauduleux, même si l’adresse a été correctement rédigée sur le navigateur. Les pirates usent aussi de la technique du hameçonnage (ou phishing), qui consiste à recueillir les données confidentielles par e-mail, en envoyant un faux message de la banque demandant de mettre à jour les données d’accès. Cette méthode est aussi pratiquée par téléphone: un message enregistré informe que le compte a été piraté et qu’il faut urgemment rappeler la banque pour confirmer ses informations bancaires. Evidemment, le numéro indiqué n’est pas celui de la banque.
Plus de conseils sur les transactions en ligne dans le guide «A l’aise sur le Net».
Commande: en page 28 ou sur www.bonasavoir.ch
