Mon Pay Pal compte a été piraté la veille de Noël. L’agresseur a tenté de semer le trouble en envoyant mes fonds PayPal à un gang de hackers lié au groupe militant djihadiste État islamique. Bien que l’intrus n’ait réussi à siphonner aucun fonds, la prise de contrôle réussie du compte en dit long sur la raison pour laquelle la plupart des organisations – y compris de nombreuses institutions financières – restent terriblement en retard pour authentifier leurs clients et garder une longueur d’avance sur les voleurs d’identité.
Photo du profil Twitter de Junaid Hussain.
Le matin de la veille de Noël, j’ai reçu un e-mail de PayPal indiquant qu’une adresse e-mail avait été ajoutée à mon compte. Je me suis immédiatement connecté à mon compte à partir d’un ordinateur vierge, j’ai changé le mot de passe, changé mon adresse e-mail à l’adresse de contact principale et supprimé le compte de messagerie escroc.
J’ai ensuite appelé PayPal et demandé comment l’agresseur était entré, et y avait-il autre chose qu’il pouvait faire pour empêcher que cela ne se reproduise ? Le responsable du service client de PayPal a déclaré que l’attaquant s’était simplement connecté avec mon nom d’utilisateur et mon mot de passe, et que j’avais fait tout ce que je pouvais en réponse à l’attaque. Le représentant m’a assuré qu’il surveillerait le compte pour toute activité suspecte et que je devrais me reposer tranquille.
Vingt minutes plus tard, je faisais de l’exercice à l’extérieur par un temps exceptionnellement chaud lorsque je me suis arrêté brièvement pour vérifier à nouveau mes e-mails : bien sûr, la même adresse e-mail malveillante avait été ajoutée à mon compte. Mais au moment où je suis rentré chez moi sur un ordinateur, mon adresse e-mail avait été supprimée et mon mot de passe avait été changé. Voilà pour la prétendue « surveillance » de PayPal ; l’entreprise n’a même pas pu repérer la même adresse e-mail frauduleuse lorsqu’elle a été ajoutée une deuxième fois.
PayPal a verrouillé le compte peu de temps après que l’agresseur aurait tenté d’envoyer mon argent sur le compte de messagerie de feu Junaid Hussainun jeune de 17 ans membre du groupe hacktiviste Poison d’équipe. Hussain – qui a utilisé le surnom de « TriCk » et qui aurait été un éminent propagandiste de l’Etat islamique en ligne – a été aurait tué dans une frappe de drone menée par les États-Unis plus tôt cette année à Raqqa, en Syrie. Sans aucun doute, la tentative de transfert était une tentative de compliquer davantage les choses pour moi en associant mon compte à des terroristes connus.
Lors de mon deuxième appel à PayPal, j’ai insisté pour parler avec un superviseur. Cette personne a pu me dire que, comme je m’en doutais, mon mot de passe (très long et complexe) n’a jamais vraiment été compromis. L’attaquant avait simplement appelé le support client de PayPal, s’était fait passer pour moi et avait pu réinitialiser mon mot de passe en ne fournissant rien de plus que les quatre derniers chiffres de mon numéro de sécurité sociale et les quatre derniers chiffres d’un ancien compte de carte de crédit.
Laissons de côté pour un instant la réalité que toutes ces informations statiques sur Breachtrace ont été publiées en ligne par divers malfaiteurs au fil des ans (et restent probablement en ligne) : toute entreprise qui authentifie les clients avec rien de plus que des identifiants statiques – adresse, SSN, Date de naissance, numéro de téléphone, numéro de carte de crédit, etc. — est vulnérable à ces tentatives de prise de contrôle.
Cela inclut presque certainement toutes les entreprises qui fournissent des services publics à votre résidence, votre banque ou votre caisse populaire, et une foule d’autres entreprises. Ils sont vulnérables parce que ces identifiants statiques à votre sujet ne sont plus secrets et sont disponibles à la vente dans le métro.
J’ai demandé au superviseur de PayPal pourquoi l’entreprise ne pouvait pas simplement vérifier mon identité en envoyant un SMS sur mon téléphone ou un signal spécial à une application mobile PayPal ? Après tout, PayPal a conservé le même numéro de téléphone mobile que moi depuis des années (l’attaquant a également supprimé ce numéro de mon profil). Le superviseur a expliqué que l’entreprise ne disposait d’aucune technologie d’authentification mobile et que, pour retrouver l’accès aux fonds de mon compte J’ai dû envoyer à l’entreprise une copie photocopiée ou scannée de mon permis de conduire.
Peu importe que ce soit le manque de méthodes d’authentification modernes de PayPal qui a conduit à ce gâchis. Aussi, oublions pour le moment qu’il existe une demi-douzaine de services en ligne qui permettent aux clients de créer des numérisations fausses mais réalistes de tous types de documents, y compris des factures de services publics, des passeports, des permis de conduire, des relevés bancaires, etc. C’est le nec plus ultra et le système d’authentification client le plus sophistiqué de PayPal : envoyez-nous une copie de votre permis de conduire.
Lorsque j’ai pressé le représentant de PayPal pour savoir s’il avait d’autres moyens de valider mon identité en dehors de l’envoi d’une copie de ma licence, il a proposé de le faire « en utilisant des archives publiques ». Maintenant, je comprends que ce qu’il voulait réellement dire, c’est que PayPal travaillerait avec un grand bureau de crédit pour me poser une série de questions dites « hors portefeuille » ou « authentification basée sur les connaissances » (KBA) – essentiellement encore plus de demandes de informations statiques qui peuvent être glanées à partir de diverses sources en ligne. Mais cela ne m’a pas empêché de demander par espièglerie au représentant pourquoi un défi de sécurité devrait s’appuyer sur des réponses provenant de documents publics ? Il a répondu que quelqu’un devrait probablement se rendre quelque part dans un palais de justice pour le faire, ce qui m’a fait rire aux éclats et lui a souhaité un joyeux Noël.
Pour le meilleur ou pour le pire, ce n’est pas la première fois que je dois faire face à des faiblesses dans les systèmes anti-fraude de PayPal. L’année dernière, mon compte a reçu un grand nombre de dons frauduleux effectués via des comptes PayPal piratés qui ont tous été financés par des cartes de crédit au lieu de soldes bancaires. Le problème avec les dons frauduleux par carte de crédit via PayPal est que PayPal évalue les inévitables frais de rétrofacturation Visa ou MasterCard de 20 $ contre le destinataire involontaire du don frauduleux, prélevant ainsi 20 $ sur le compte du destinataire pour chaque faux don !
J’ai appelé mon contact chez PayPal qui avait aidé à trouver une solution palliative aux faux paiements par carte de crédit, et cette personne a dit que PayPal verrouillerait mon compte afin qu’aucun autre changement de compte ne soit autorisé. Je suis reconnaissant qu’ils aient pu le faire (jusqu’à présent), mais il va probablement sans dire que la plupart des utilisateurs de PayPal n’auront pas cette ligne de contact ou d’influence au sein de l’entreprise.
Le jeton de sécurité de PayPal n’est pas très utile si l’entreprise permet aux voleurs de réinitialiser votre mot de passe par téléphone en utilisant votre numéro de sécurité sociale.
PayPal offre des protections de sécurité supplémentaires, y compris un Clé de sécurité PayPal qui génère périodiquement un nouveau mot de passe à usage unique qui doit être saisi lors de la connexion en plus d’un nom d’utilisateur et d’un mot de passe. J’ai utilisé cette solution peu de temps après que l’entreprise a commencé à l’offrir il y a près de dix ans, mais elle fait beaucoup de bien si PayPal continue de laisser les utilisateurs réinitialiser leurs mots de passe en régurgitant des données statiques qu’il est trivial d’acheter auprès du cybercrime sous la terre.
De nombreuses entreprises proposent à leurs clients davantage d’options de sécurité de compte, mais uniquement sur demande. Le plus souvent, lorsque les entreprises sont invitées à prendre des précautions de sécurité non standard, c’est parce que le titulaire du compte a déclaré avoir été auparavant la cible de cyberharcèlement ou de harcèlement concerté ou de menaces en ligne. Je me souviens d’avoir fait cela avec la plupart des services publics que nous utilisons – y compris notre FAI – après que des vauriens aient essayé de couper notre service d’électricité, de téléphone et d’eau en appelant avec ces identifiants statiques. Aucune de ces entreprises n’offrait d’options d’authentification plus avancées – telles que l’authentification des appareils mobiles – mais la plupart me laissaient mettre un indicateur sur mon compte qu’aucune modification ne devait être apportée à moins que je ne me présente en personne aux bureaux de l’utilitaire et présente une pièce d’identité avec photo et mon nom d’utilisateur et mon mot de passe.
Bien qu’il s’agisse effectivement de la même solution que celle proposée par PayPal après il a gelé mon compte et les fonds disponibles, devoir se rendre dans un bureau et présenter ma pièce d’identité pour fermer ou apporter des modifications à mon compte est nettement moins onéreux et aggravant que d’essayer de régler cela après coup sans électricité, eau ou Internet.
À plus long terme, PayPal devrait examiner lesquels de ses utilisateurs ont déjà fourni des informations sur leur téléphone mobile, puis chercher à valider ces numéros de contact. Une fois ce processus terminé, PayPal peut commencer à mettre à niveau ses systèmes d’authentification et, espérons-le, devenir moins dépendant des identifiants statiques (lire : déjà compromis) pour valider les clients. Cela aiderait à réduire les prises de contrôle de compte et à réduire la menace de dons coûteux et frauduleux par carte de crédit via des comptes piratés.
Jusque-là, PayPal continuera d’exposer inutilement ses utilisateurs à des menaces de sécurité et de confidentialité (n’oubliez pas qu’un escroc qui accède à votre compte PayPal peut voir toutes vos transactions et données financières à partir des comptes bancaires associés).
De nombreux lecteurs de BreachTrace ont été très généreux en soutenant mes efforts cette année, et à ces gens (et à tous ceux qui ont lu jusqu’ici) j’offre un MERCI chaleureux et sincère !