Votre nom :
Votre email :
Email du destinataire :

C’est quoi les Banking Trojans ? Comment fonctionnent-ils ?

Les Banking Trojans ne sont pas des malwares comme les autres : ce sont les plus discrets et les plus rentables, mais également les plus sophistiqués, avec des capacités d’adaptation étonnantes. Quels dommages causent-ils ? Comment fonctionnent-ils ?

Les Banking Trojans (ou chevaux de Troie bancaires) sont des logiciels malveillants particulièrement intrusifs, dont l’objectif est d’accéder illégitimement aux comptes bancaires de particuliers ou d’entreprises, afin d’en détourner de l’argent. Les Banking Trojans les plus connus s’appellent Zeus, SpyEye, Carberp, Citadel, Hermes, Torpig, etc. S’ils existent depuis plusieurs années, ils continuent de faire des ravages aujourd’hui, notamment parce que leur code informatique est continuellement amélioré. Les Banking Trojans sont donc capables de s’adapter à différents types de situation (et depuis peu aux appareils mobiles, notamment sous Android), afin d’être toujours plus efficaces et discrets dans le pillage de comptes bancaires.

Banking Trojans : fonctions classiques

Traditionnellement, les chevaux de Troie bancaires possèdent pour la plupart ces caractéristiques :

  • Prise de contrôle des machines infectées
  • Discrétion absolue lors de leur installation et de leur exécution
  • Vol de mots de passe
  • Enregistrement des saisies clavier et des clics de souris (fonction de keylogging)
  • Déclenchement sophistiqué de transactions bancaires

Banking Trojans : dernières évolutions

Si certains chevaux de Troie bancaires ne sont plus tout jeunes, ils continuent d’être dangereux parce qu’ils sont continuellement mis à jour pour contrer les dernières sécurités, ou pour ajouter de nouvelles fonctionnalités, parmi lesquelles :

Le contournement de la double-authentification

Les différents services web (webmail, réseaux sociaux, etc.), les sites de paiement en ligne et les organismes bancaires utilisent de plus en plus le système de double-authentification pour sécuriser les accès ou les paiements de leurs utilisateurs : il est toujours demandé à ces derniers de saisir un identifiant et un mot de passe, mais la confirmation d’un code unique (envoyé par SMS) est également requis.

Toutefois, certains Banking Trojans comme Eurograbber parviennent à contourner ce dispositif de sécurité récent : sur une machine infectée, le malware attend que l’utilisateur se connecte une première fois à son espace bancaire. Une fois connecté sur le site officiel, un message frauduleux apparaît à l’écran, et demande à l’utilisateur de fournir son numéro de téléphone, soit-disant pour renforcer la sécurité de l’accès. Il reçoit alors par SMS un lien pour installer une application de double authentification. Il s’agit bien sûr d’un malware mobile destiné à intercepter et contourner le dispositif de double-authentification de la banque.

La modification « à la volée » des pages de transaction

Certaines version de SpyEye sont aujourd’hui capables d’injecter « en direct » du code HTML et JavaScript sur les pages Internet des sites bancaires, non seulement pour détourner des transactions, mais aussi pour modifier l’affichage d’une page : le cheval de Troie peut ainsi dissimuler aux yeux de l’utilisateur des transactions frauduleuses, comme si de rien n’était.

Pour ce faire, le logiciel malveillant est capable en amont d’intercepter des flux HTML (web) avant qu’ils ne soient affichés à l’écran (méthode « Man in the browser »).

Le contournement des protections antivirus

Un bon virus est un logiciel malveillant qui n’est pas détecté par les principaux logiciels antivirus. C’est pourquoi les cybercriminels qui développent des malwares ont à leur disposition des sites web spécialisés (ex : VirusTotal.com) qui permettent de vérifier que leur programme est effectivement indétectable par les solutions antivirus.

Par ailleurs, certains Banking Trojans comme Zeus peuvent générer 400 exécutables uniques par minute : les logiciels antivirus, dont le principe de fonctionnement est de reconnaître la signature de malwares connus, sont alors complètement dépassés. Un logiciel malveillant sophistiqué possède en effet des milliers de signatures différentes.

La recherche personnalisée de vulnérabilités

Lorsque les logiciels d’un ordinateur ne sont jamais mis à jour, celui-ci regorge de failles de sécurité non corrigées. Or les chevaux de Troie intègrent souvent un catalogue exhaustif des vulnérabilités les plus répandues. Dès lors, lorsqu’ils infectent discrètement une page web ou une bannière publicitaire affichée par un utilisateur, ils vérifient sur l’ordinateur concerné toutes les failles de sécurité possibles (système d’exploitation, Java, Flash, Reader, navigateur, etc.) : lorsqu’une vulnérabilité non-corrigée est découverte, ils s’engouffrent dans la faille et installent un malware à l’insu de l’utilisateur (méthode Drive-by Download).

Comment éviter les chevaux de Troie ?

Il est difficile de se protéger à 100% contre les chevaux de Troie, qu’ils soient bancaires ou non. Voici néanmoins quelques conseils pratiques qui assureront une sécurité minimum sur votre ordinateur :

  • Effectuer les mises à jours logicielles dès qu’elles sont disponibles, et activer les mises à jour système automatiques
  • Créer un compte Utilisateur (en plus du compte Administrateur), qui sera utilisé au quotidien
  • Effectuer des scans réguliers avec le logiciel antivirus, et éventuellement des logiciels de sécurité complémentaires (ex : CCleaner)
  • Si possible fournir votre numéro de téléphone mobile à votre banque directement en agence, auprès de votre conseiller financier, ou sur le formulaire d’ouverture de compte
  • Régulièrement inspecter les extensions (plugins, modules complémentaires) des navigateurs web installés, et désinstaller ceux qui ne sont pas utiles

Par ailleurs, les logiciels antivirus prochaine génération seront probablement plus efficaces pour détecter les logiciels malveillants : en plus d’inspecter les signatures logicielles, ils étudieront les différents comportements logiciels afin de proposer la neutralisation des plus suspects.

Les Banking Trojans sont la Rolls Royce des chevaux de Troie traditionnels parce que ce sont ceux qui innovent le plus. Ils sont spécialisés dans les détournements de transactions financières et dans le pillage de comptes bancaires. Pour cela, certains embarquent des codes informatiques spécialement conçus pour des banques précises. Fort heureusement, les banques françaises semblent pour l’instant épargnées (!), sauf dans certains cas, pour des comptes très ciblés (attaques manuelles en français). En revanche, si les pays concernés sont traditionnellement assez lointains (USA, Brésil, Europe de l’Est), les banques d’Europe occidentale sont de plus en plus menacées : on en dénombre 16 en Italie, 7 en Espagne, 6 en Allemagne, et 3 aux Pays-Bas.

 

Source : 01net.com
Image : Flickr / Suzanne Cezanne / CC BY-NC-SA 2.0

TAGS cheval de troiecybercriminalitédonnées bancairesinformatiqueinternetmalwaresécurité

3 commentaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Protection anti-spam

«C'est pas faux»

Dans le texte ci dessus, c'est pas quoi ?'

Votre réponse :

21/06/2013 00:30

[...] Les Banking Trojans des malwares discrets, sophistiqués, avec des capacités d'adaptation étonnantes. Quels dommages causent-ils ? Comment fonctionnent-ils ?  [...]

25/06/2013 13:58

[...] Les Banking Trojans ne sont pas des malwares comme les autres : ce sont les plus discrets et les plus rentables, mais également les plus sophistiqués, avec des capacités d'adaptation étonnantes. Quels dommages causent-ils ? Comment fonctionnent-ils ?  [...]

29/06/2013 08:46

[...] Les Banking Trojans des malwares discrets, sophistiqués, avec des capacités d'adaptation étonnantes. Quels dommages causent-ils ? Comment fonctionnent-ils ?  [...]