«Les logiciels de paiement hors ligne ciblés par des pirates: des entreprises suisses sont touchées»


Le titre ci-dessus est tiré d’un communiqué publié en juillet de cette année par la Centrale d’enregistrement et d’analyse pour la sûreté de l'information MELANI. Il décrit un nouveau type de piratage dont des entreprises suisses sont victimes.

Aujourd’hui, les entreprises utilisent généralement un logiciel hors ligne pour transmettre, valider et exécuter un grand nombre d’ordres de paiement électroniques, surtout quand elles sont multibancarisées. Les virements sont automatiquement déclenchés à partir de l’ ERP et transmis à la banque par des protocoles sécurisés. Ce type d’émission de paiements est aujourd’hui utilisé pour la majorité des ordres de paiements électroniques effectués en Suisse.
 

Le maliciel «Dridex» que MELANI décrit dans son communiqué se propage à travers des documents Microsoft Office malicieux contenus dans des e-mails provenant d’expéditeurs en apparence légitimes et il s’attaque depuis peu à ces logiciels de paiement hors ligne. Les fabricants pris pour cible sont, avant tout, ceux qui sont assez répandus sur le marché suisse. Beaucoup d’entreprises sont actuellement inquiètes et se demandent si leur solution est suffisamment protégée et comment se prémunir contre de telles attaques.

Tout d’abord, il est important de suivre les consignes de sécurité publiées depuis longtemps par MELANI: utiliser des ordinateurs dédiés, ignorer les mails contenant des pièces jointes suspectes, mettre régulièrement à jour les systèmes d’exploitation et les antivirus, etc. afin de garantir la sécurité de sa propre infrastructure. Une consigne attire particulièrement l’attention, à savoir celle recommandant l’utilisation d’une signature collective à la place de signatures individuelles. Comment cela fonctionne-t-il dans la pratique alors que les fondés de pouvoir de la société ne signent plus d’ordres physiques sur papier pour les envoyer à la banque?

Les banques proposent deux solutions différentes (parfois combinées). D’une part, la validation peut avoir lieu à travers un autre canal. Cela signifie que le fichier est directement  transmis à la banque à partir du logiciel hors ligne au moyen du protocole EBICS (Electronic Banking Internet Communication Standard), par exemple, mais que l’exécution de l’ordre n’est pas encore autorisée. Par validation au travers de l’e-banking en ligne de la banque, les ordres peuvent être ensuite définitivement validés par une deuxième personne.

Un autre type de signature collective sûre et flexible est l’utilisation de la «Signature Electronique Distribuée» (VEU) gérée par le protocole EBICS. Celui-ci prévoit les modèles de signatures «transport» (pas d’autorisation), «individuelle», «collective A» et «collective B». De plus, la banque peut fixer un plafond journalier (par client, par compte ou par type d’ordre). La Signature Electronique Distribuée permet au client une couverture complète de la gestion des signatures de son entreprise et assure un niveau de sécurité très élevé avec l’utilisation de plusieurs canaux (ex.: délivrance de la deuxième signature au moyen d’un dispositif mobile).

De plus en plus de banques suisses proposent la VEU EBICS dans leurs solutions d’e-banking. Renseignez-vous à ce sujet auprès de votre banque ou posez vos questions à info@ppi.ch si vous désirez davantage d’informations sur la VEU EBICS.

Communiqué original de MELANI : https://www.melani.admin.ch/melani/fr/home/documentation/lettre-d-information/offline-payment-software.html

Carsten Miehling
Réactions :

0 commentaires:

Enregistrer un commentaire