[ad_1]

Une action en justice portée devant les tribunaux cette semaine concernant le cybervol de plus d’un demi-million de dollars en 2009 dans un petit magasin de métaux du Michigan pourrait aider à tracer des lignes plus claires sur la distance que les banques doivent parcourir pour protéger leurs clients commerciaux contre les prises de contrôle de compte et la fraude.

L’affaire est surveillée de près par un certain nombre de petites et moyennes entreprises qui ont perdu des millions à cause de cybervoleurs et attendent un signe que les tribunaux pourraient être disposés à forcer les banques à assumer au moins une partie de ces pertes.

Il y a près de deux ans, des cyber-escrocs ont volé plus de 560 000 $ à Sterling Heights, dans le Michigan. Expéri-Métal Inc. (EMI), envoyant l’argent à des co-conspirateurs dans une demi-douzaine de pays.

Le 22 janvier 2009, contrôleur EMI Keith Maslowski a répondu à un e-mail qui semblait provenir de sa banque, Comédie. Le message affirmait que la banque devait effectuer une maintenance planifiée sur son logiciel bancaire et demandait à l’employé d’EMI de se connecter sur un site Web qui ressemblait au site bancaire en ligne de Comerica. Maslowski dit que l’e-mail ressemblait aux e-mails annuels que Comerica envoyait, invitant les clients à renouveler les certificats numériques d’EMI. Le problème était que, l’année précédente, Comerica était passé de l’utilisation de certificats numériques à l’obligation pour les clients commerciaux d’entrer le code d’accès unique à partir d’un jeton de sécurité. Le site lié dans l’e-mail a demandé ce code, et Maslowski s’est conformé.

Presque immédiatement, les escrocs qui ont volé ces informations d’identification ont commencé à retirer de l’argent du compte d’EMI. Entre 7 h 30 et 10 h 50 ce jour-là, les attaquants ont lancé 47 virements électroniques vers la Chine, l’Estonie, la Finlande, la Russie et l’Écosse.

EMI et Comerica sont d’accord sur la version ci-dessus des événements, mais ont des versions très différentes de ce qui s’est passé avant et directement après le vol. Les deux parties se sont rencontrées mardi pour une conférence préalable au procès et ont présenté leurs mémoires respectifs au tribunal. Comerica est ici (PDF), et Experi-Metal est disponible sur ce lien (PDF).

EMI affirme que Comerica s’est renseigné sur les transferts à 10h50 et qu’EMI a demandé aux banques de ne pas honorer les virements bancaires demandés jusqu’à nouvel ordre. Mais au cours des trois heures suivantes, les voleurs initieraient 38 autres fils à partir du compte d’EMI. EMI a également noté qu’avant cette rafale de virements frauduleux, la société avait demandé un total de deux virements électroniques en autant d’années.

Pour sa part, Comerica a déclaré qu’Experi-Metal n’a pas droit à réparation car elle ne peut pas prouver que les actions de Comerica ont causé les dommages réclamés. « Les événements malheureux du 22 janvier 2009 se sont produits parce que M. Maslowski n’a pas protégé les informations de sécurité d’Experi-Metal, en violation du contrat d’Experi-Metal avec Comerica », a déclaré Comerica dans son mémoire préalable au procès. « Et ces pertes ne se seraient pas produites si Experi-Metal avait accepté la recommandation de Comerica selon laquelle Experi-Metal exigeait qu’un autre utilisateur approuve tous les fils après qu’un utilisateur les ait initiés. »

De nombreux faits en litige portent sur la question de savoir si Maslowski était autorisé à initier des virements électroniques, et les employés de Comerica n’ont-ils pas agi en temps opportun en ce qui concerne la fraude présumée, conformément aux normes industrielles et commerciales ? La question est également de savoir quelle partie des pertes réclamées par Experi-Metal s’est produite avant que Comerica ne soit au courant et ait eu un délai raisonnable pour réagir aux virements frauduleux ?

Les entreprises ne bénéficient pas des mêmes protections juridiques que celles accordées aux clients des services bancaires aux consommateurs touchés par des cyber-voleurs, et la plupart des organisations seront tenues responsables de toute perte due au phishing ou à la prise de contrôle de compte. Mais une série d’attaques qui ont rapporté aux voleurs plus de 70 millions de dollars au cours des dernières années a poussé certaines entreprises victimes et leurs avocats à rechercher des moyens de responsabiliser davantage les banques, en soulignant les moyens par lesquels les banques pourraient ne pas être à la hauteur. aux normes juridiques étatiques quelque peu nébuleuses qui régissent les activités bancaires commerciales.

Les quelques affaires intentées jusqu’à présent remettent en question le respect par les banques de leurs obligations en vertu du Code de commerce uniforme. L’adoption par le Michigan du UCC détient qu’un ordre de paiement reçu par le [bank] vaut « comme ordre du client, autorisé ou non, si la procédure de sécurité est une méthode commercialement raisonnable [emphasis mine] de fournir une garantie contre les ordres de paiement non autorisés, et la banque prouve qu’elle accepté l’ordre de paiement de bonne foi et conformément à la procédure de sécurité et à tout accord écrit ou instruction du client restreignant l’acceptation des ordres de paiement émis au nom du client.

David Navettepartenaire fondateur de la Groupe du droit de l’information et co-président du Comité de sécurité de l’information de l’American Bar Association, a déclaré que le tribunal dans cette affaire avait lancé toute discussion sur la question de savoir si les procédures de sécurité de Comerica étaient commercialement raisonnables. Au lieu de cela, a déclaré Navetta, le tribunal s’est concentré sur le processus contractuel entre les parties. Il a déclaré en droit que la garantie de Comerica était raisonnable parce qu’EMI avait convenu qu’elle était raisonnable dans un contrat.

« Le tribunal EMI s’est également concentré sur le processus d’une autre manière qui a finalement nui à la banque et a fourni la base principale du différend pour ce procès », a écrit Navetta dans un e-mail à BreachTrace. « Le tribunal s’est concentré sur la question de savoir si Comerica avait agi de « bonne foi » en acceptant les ordres de paiement des hameçonneurs. Cela déplace essentiellement l’analyse vers les activités de Comerica en réagissant à la faille de sécurité et en s’abstenant de traiter les virements électroniques frauduleux et d’envoyer de l’argent. La question est de savoir où s’arrêtent les responsabilités de la banque et où commencent celles du client, et dans quelle mesure les banques doivent-elles anticiper les erreurs de leurs clients et développer la sécurité pour atténuer le risque d’atteinte à la sécurité. En lisant les documents du procès, il est évident que le grand combat devant le jury est de savoir si et dans quelle mesure EMI s’en est pris à elle-même.

Navetta pense que cette affaire incitera probablement les banques à examiner très attentivement leurs politiques de sécurité et à s’assurer qu’elles sont conformes aux directives fédérales des régulateurs fédéraux. « Ils peuvent également renforcer leurs processus éducatifs autour des attaques de phishing », a déclaré Navetta. « Ils offriront également probablement une sécurité très robuste dans certains cas que leurs clients pourraient finalement refuser. »

Pour le moment, cependant, relativement peu de banques – en particulier les institutions de petite à moyenne taille – offrent aux clients commerciaux une sécurité robuste qui va au-delà de la simple authentification des clients, a déclaré Charisse Castagnoliconsultant indépendant en sécurité et professeur associé à École de droit John Marshall.

Castagnoli a déclaré que davantage de banques pourraient et devraient offrir le type de technologie utilisée par les principaux réseaux de cartes de crédit, qui tentent de créer des profils d’activité des clients, puis alertent le client ou la banque émettrice de toute activité suspecte ou inhabituelle. Mais elle a déclaré qu’un grand pourcentage de banques sous-traitaient les transactions quotidiennes des clients à des prestataires de services tiers, dont la plupart n’offrent pas actuellement de services permettant d’effectuer cette analyse des transactions.

« Si vous regardez la théorie économique, l’organisation la mieux placée pour atténuer le risque est vraiment la banque, car avec des technologies extrêmement simples déployées, elle pourrait réduire le risque de menace ou de pertes actuelles de 90 à 95% du temps », a déclaré Castagnoli. .

« Il s’agit d’un cas classique où la détection d’anomalies est parfaitement adaptée, car si vous regardez les circonstances de ces vols et comment les transferts se sont produits, cela vous gifle car la plupart de ces activités semblent si étranges et se démarqueraient de quiconque qui pris un moment pour regarder », a-t-elle déclaré. « Mais les fournisseurs de services n’offrent pas cette détection, en raison du coût de sa mise en œuvre et de son déploiement, et de la question de savoir s’ils peuvent répercuter ces coûts sur leurs clients. En plus de cela, il n’y a aucune incitation ou dissuasion pour ce fournisseur de faire ces investissements, car cela augmente la complexité et les coûts, et personne ne l’oblige à le faire.

Cela pourrait changer bientôt. Analyste fraude Garner Aviva Litan écrit la semaine dernière que les entreprises peuvent bientôt s’attendre à de nouvelles directives en matière de sécurité informatique de la part du Conseil d’examen des institutions financières fédérales (FFIEC), l’organisme de réglementation qui a publié la dernière série d’orientations sur les services bancaires électroniques sécurisés Authentification dans un environnement bancaire en ligne (PDF) en 2005. Extrait du blog de Litan :

« Néanmoins, toutes les institutions financières n’ont pas suivi l’esprit des orientations de 2005. Les menaces et les niveaux de risque associés ont clairement dépassé les garanties que de nombreuses banques et coopératives de crédit et leurs fournisseurs de services ont mises en place aujourd’hui.

« En règle générale, les grandes banques et les coopératives de crédit sont restées proactives, pour des raisons allant de la réduction des coûts de fraude, au maintien de la réputation et à l’amélioration de l’efficacité organisationnelle.

«Mais la plupart des petites institutions financières se sont appuyées sur leurs fournisseurs de services bancaires en ligne pour atténuer le risque de fraude avec des services appropriés, mais les fournisseurs de services n’ont pas introduit de services d’atténuation de la fraude appropriés au risque sur leurs différentes versions et implémentations de plateforme, laissant des milliers d’institutions financières américaines — et leurs clients — inutilement exposés.

« Je n’envie pas le travail des régulateurs consistant à trouver le juste équilibre entre trop et trop peu de directives prescriptives. Mais sur la base de ce qui s’est passé lors du dernier cycle, il semble que de nombreux dirigeants d’institutions financières aient besoin de plus d’incitations réglementaires et de conseils détaillés afin d’allouer des ressources budgétaires à leurs programmes de sécurité bancaire en ligne et mobiles (et d’autres canaux).

« Le sort de la sécurité du compte bancaire d’un client ne devrait pas être déterminé par les tribunaux américains. Il devrait être guidé de manière proactive par des régulateurs bien informés et équilibrés, et un personnel de sécurité consciencieux dans les banques de notre pays.

Je continuerai à suivre de près cette affaire et d’autres similaires. Restez à l’écoute pour plus de mises à jour, y compris des nouvelles de poursuites supplémentaires intentées par des clients de banques commerciales cherchant à récupérer des pertes à six chiffres dues à la cyberfraude.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *