Une bataille judiciaire étroitement surveillée sur la mesure dans laquelle les banques commerciales doivent aller pour protéger leurs clients contre le cybervol touche à sa fin. Les experts ont déclaré que la décision recommandée par un magistrat la semaine dernière – si elle est adoptée par un tribunal de district américain du Maine – rendra plus difficile pour les autres entreprises victimes de contester l’efficacité des mesures de sécurité employées par leurs banques.
En mai 2009, Sanford, Maine basé Patco Construction Co. a porté plainte contre Ocean Bankune division de Bridgeport, Connecticut basée Banque unie du peuple. Pacto a utilisé les services bancaires en ligne principalement pour effectuer des paiements de paie hebdomadaires. Patco a déclaré que les cyber-voleurs utilisaient le Cheval de Troie ZeuS pour voler ses informations d’identification bancaires en ligne, puis a volé 588 000 $ en lots de transferts frauduleux de chambre de compensation automatisée (ACH) sur une période de sept jours.
Dans les semaines qui ont suivi l’incident, Ocean Bank a réussi à bloquer ou à récupérer 243 406 $ des transferts frauduleux, laissant Patco avec une perte nette de 345 445 $. Étant donné que les fonds disponibles sur le compte de Patco étaient inférieurs au total des retraits frauduleux, la banque a prélevé 223 237 $ sur la marge de crédit de Patco pour couvrir les transferts. Patco a fini par payer des intérêts sur ce montant pour éviter de faire défaut sur ses prêts.
Patco a intenté une action en justice pour récupérer ses pertes, arguant en partie qu’Ocean Bank n’avait pas respecté les termes de son contrat lorsqu’elle permettait aux clients de se connecter à des comptes en utilisant un peu plus qu’un nom d’utilisateur et un mot de passe. Le 27 mai, un magistrat a recommandé au tribunal de faire de Patco le perdant en rejetant la requête de Pacto en jugement sommaire et en accordant la requête de la banque.
David Navettepartenaire fondateur de la Groupe du droit de l’informationa déclaré que Patco dispose d’environ une semaine pour contester les recommandations du magistrat, mais qu’il est peu probable que le juge chargé de l’affaire annule les conclusions du magistrat.
Navetta a déclaré que le magistrat avait examiné les questions juridiques et proposé une analyse de ce qui constitue une sécurité « commercialement raisonnable ».
« De nombreux commentateurs du droit de la sécurité, moi y compris, soutiennent depuis longtemps qu’une sécurité raisonnable ne signifie pas une sécurité à l’épreuve des balles, et que les entreprises n’ont pas besoin d’être à la pointe de la sécurité pour éviter toute responsabilité », a déclaré Navetta. « Le tribunal reconnaît explicitement ce concept, et je pense que c’est une bonne chose. »
Mais Aviva Litananalyste fraude et sécurité bancaire chez Gartners’est vivement opposé à la manière dont le magistrat est arrivé à la décision recommandée, la qualifiant d ‘ »outrage ».
« À mon avis, c’est franchement une injustice flagrante contre les petites entreprises américaines », a déclaré Litan. « C’est aussi un échec complet du système de réglementation bancaire aux États-Unis, ce qui ne devrait pas surprendre, compte tenu de l’histoire des régulateurs au 21e siècle. »
La technologie
Ocean Bank s’est appuyé sur un prestataire de services Jack Henri pour traiter les virements de banque à banque, et il a sélectionné un processus d’authentification qui exigeait que les clients se connectent avec un identifiant d’entreprise, un identifiant d’utilisateur et un mot de passe. Les clients ont également été invités à fournir des réponses à trois «questions de défi» qui seraient posées si le système qualifiait une transaction de «risque élevé».
Le produit Jack Henry était accompagné d’un système de notation des risques développé par RSAc’est Cyota, qui évalue le risque des transactions en utilisant plusieurs facteurs, tels que l’emplacement de l’adresse Internet d’un utilisateur, le moment et la fréquence de connexion de l’utilisateur, et la façon dont le client navigue sur le site. Des questions d’identification ont été posées lorsque le score de risque d’une transaction dépassait 750 sur une échelle de zéro à 1 000 (la RSA considère que les transactions générant des scores de risque supérieurs à 750 sont à haut risque). Ocean Bank gardait également une trace des « identifiants d’appareils » des clients, un amalgame d’attributs du PC du client qui pouvait être utilisé pour créer une empreinte digitale unique pour cette machine.
Jusqu’en 2008, Ocean Bank a fixé son seuil de montant en dollars – les montants de transfert qui exigeraient automatiquement la réponse à une question de défi quel que soit le score de fraude Cyota – à 100 000 $. Mais en juillet 2008, la banque a abaissé ce seuil à 1 $. La banque a déclaré au tribunal qu’elle l’avait fait pour renforcer la sécurité à la suite d’une fraude ACH à la banque qui ciblait les transactions de faible montant. Après le changement, les clients ont été obligés de répondre à une question d’identification chaque fois qu’ils utilisaient le système de la banque.
L’analyse
L’expert en sécurité de Patco, Sari vert de Portland, Me. basé Sécurité des données de Sage, a déclaré au tribunal qu’en fixant des questions d’identification à poser sur chaque transaction, la banque augmentait considérablement le risque qu’un fraudeur équipé d’un cheval de Troie bancaire puisse compromettre les réponses aux questions d’identification d’un client. Patco a également fait valoir que, comme les questions étaient déclenchées pour chaque transaction, quelle que soit la notation de la transaction, ce système n’offrait aucune sécurité supplémentaire.
Navetta a déclaré que le magistrat avait examiné la question de savoir si la sécurité d’Ocean Bank était suffisante. Le magistrat a analysé si la sécurité de la banque satisfaisait aux directives d' »authentification multi-facteurs » en incorporant au moins deux des trois vérifications : quelque chose que l’utilisateur connaît (comme un mot de passe), quelque chose que l’utilisateur possède (comme le code d’authentification généré par un jeton); et quelque chose que l’utilisateur est, comme un identifiant biométrique. (Ces lignes directrices ont été établies en 2005 par les régulateurs bancaires du Conseil fédéral d’examen des institutions financières (FFIEC).
Navetta a déclaré que le magistrat avait accepté l’argument de la banque selon lequel le système basé sur un mot de passe utilisé par la banque était multifactoriel, comme décrit dans le FFIEC. « Dans une certaine mesure, le tribunal a reconnu que la sécurité de la banque aurait pu être meilleure », a déclaré Navetta. « Même ainsi, il s’agissait techniquement de plusieurs facteurs, comme décrit dans les directives de la FFIEC de l’avis du tribunal, et » le meilleur « n’était pas nécessaire. »
Le magistrat a écrit que si les directives indiquent que deux de ces facteurs sur trois doivent être incorporés, cela ne dit rien sur la façon dont les banques doivent réagir lorsque l’un de ces facteurs détecte une anomalie. Plus important encore, le magistrat a accepté l’affirmation de la banque selon laquelle un identifiant d’appareil satisfaisait à l’exigence «quelque chose que l’utilisateur possède».
Le magistrat n’a pas été influencé par les preuves présentées par les avocats de Patco selon lesquelles les menaces de logiciels malveillants modernes comme ZeuS peuvent modifier le contenu du navigateur de la victime (et ainsi inviter les utilisateurs à répondre à toutes leurs questions secrètes). ZeuS permet également aux attaquants de canaliser leurs communications via le PC et le navigateur de la victime, une méthode d’attaque qui peut annuler la valeur d’un ID d’appareil comme deuxième facteur. Navetta a déclaré que la principale théorie de Patco concernant la faiblesse de la sécurité de la banque était que le seuil inférieur en dollars fixé par la banque faisait des clients une proie plus facile pour des prédateurs comme le cheval de Troie ZeuS, mais que le magistrat n’était pas convaincu par cet argument parce que Patco n’avait pas de preuves médico-légales réelles. qu’un enregistreur de frappe était le coupable. Le magistrat a déclaré que Patco avait commis une erreur en « ayant irrémédiablement modifié les preuves sur ses disques durs en exécutant des analyses sur ses ordinateurs et en continuant à les utiliser avant de faire des copies médico-légales appropriées ».
Avivah Litan a déclaré que les méthodes utilisées par Jack Henry pour soutenir Ocean Bank étaient ne pas appropriée aux risques associés aux services bancaires aux entreprises en ligne en 2009.
« Zeus, les chevaux de Troie basés sur un navigateur et d’autres menaces modernes sont connus de tous ceux qui suivent la sécurité bancaire en ligne pour contourner toutes les méthodes qui étaient utilisées à l’époque par la banque et son processeur », a déclaré Litan. « Malheureusement, les directives FFIEC de 2005 faisaient référence à des exemples de techniques de vol en ligne relativement grossières qui étaient courantes en 2004 et 2005. Le cybercriminel de 2011 a depuis longtemps contourné et dépassé ces anciennes techniques. »
La FFIEC était sur le point de publier des directives mises à jour à la fin de l’année dernière pour clarifier les types nouveaux et plus solides de défenses multicouches requises en 2011. Litan a déclaré que ces mises à jour devaient expliquer que les exemples de solides mesures de sécurité bancaire en ligne qui répertoriés en 2005 ont été rendus inutiles et obsolètes par les techniques de cybercriminalité de nouvelle génération.
« Il est vraiment décevant que la mise à jour indispensable n’ait jamais été publiée, sans doute en raison de politiques internes et de désaccords entre les agences de réglementation », a-t-elle déclaré. « Les régulateurs ne devraient pas laisser ces questions entre les mains des juges pour décider et devraient protéger les entreprises américaines des lacunes bancaires qui compromettent la sûreté et la sécurité de leurs comptes, tout comme les consommateurs sont protégés en vertu du règlement E. À mon avis, ce juge n’a pas correctement interpréter les directives d’authentification FFIEC 2005. »
Patco copropriétaire Marc Patterson a déclaré que la société n’avait pas encore décidé de faire appel.
« La seule chose que le juge a mentionnée dans sa décision est qu’il n’y a pratiquement aucune jurisprudence sur [question of what constitutes reasonable security] pour les banques », a déclaré Patterson. « Plus maintenant. C’est pourquoi nous craignons que cela n’ait des répercussions nationales. Des tonnes de petites entreprises continuent de courir un risque énorme que ce genre de chose leur arrive. »
Les recommandations du magistrat ne sont en aucun cas une affaire conclue, même si le tribunal de district les adopte. La décision pourrait être portée en appel, éventuellement jusqu’à la Cour suprême des États-Unis. Les parties intéressées pouvaient présenter d’autres arguments juridiques en déposant des mémoires d’amicus curiae (ami de la cour) à tout moment pendant le processus d’appel.
Une copie de la décision recommandée est disponible ici (PDF).
BreachTrace continuera à suivre cette affaire et à vous tenir au courant des nouveaux développements au fur et à mesure qu’ils se produisent. Restez à l’écoute.