Un certain nombre de lecteurs ont récemment écrit pour dire que leurs banques avaient exhorté les clients à installer un programme de sécurité appelé rappeurt comme un moyen de protéger leurs comptes bancaires en ligne contre la fraude. Les lecteurs qui m’ont envoyé un ping ont tous dit qu’ils ne savaient pas grand-chose sur ce produit, et ai-je recommandé de l’installer ? Étant donné que cela fait presque deux ans que j’ai passé en revue le logiciel pour la dernière fois, j’ai pensé qu’il pourrait être utile de contacter ses créateurs pour voir comment ce programme a suivi le rythme des dernières menaces.
Les éléments de base de Rapport – conçus par une société appelée Fiduciaire – n’ont pas beaucoup changé. Comme je écrit en mai 2008 le logiciel fonctionne en prenant le contrôle du interfaces de programmation d’applications ou API dans Windows, l’ensemble d’outils qui permettent aux développeurs de logiciels de créer des programmes qui interagissent avec les fonctionnalités clés de Windows.
De cette pièce de 2008 :
« Certains des logiciels malveillants de vol de données les plus dangereux d’aujourd’hui fonctionnent en détournant ces API Windows. Par exemple, les enregistreurs de frappe détournent ou « accrochent » simplement l’API Windows qui gère la transmission des données à partir des interfaces utilisateur, telles que le clavier et la souris. Un type de logiciel malveillant plus avancé, connu sous le nom de « capteur de formulaires », détourne le ‘WinInetName‘ API – qui configure la transaction SSL (pensez https://) entre le navigateur de l’utilisateur et le site Web crypté. En détournant cette API, un récupérateur de formulaires peut extraire les noms d’utilisateur et les mots de passe même lorsque l’utilisateur les soumet à un site qui crypte les données pendant la transmission, car il récupère ces informations au niveau inférieur du système d’exploitation, avant qu’elles ne soient cryptées.
Le logiciel de Trusteer examine ces API et d’autres API Windows essentielles pour voir si un autre processus tente d’intercepter des données sensibles. Il bloque ensuite ceux qui le font.
J’ai parlé la semaine dernière avec PDG fiduciaire Mickey Boodaeje sur le logiciel de son entreprise, comment il a changé au fil des ans et ce qu’il y a de nouveau à ce sujet.
MMA: De nombreux clients sont invités à télécharger le logiciel et ne connaissent pas bien Trusteer ou Rapport. Un client a écrit en banque chez BBVA, et un autre avec Fifth Third. Les deux banques ont très récemment vu plusieurs clients perdre des centaines de milliers de dollars à cause du type de fraude bancaire en ligne dont j’ai parlé récemment.
Mo : Eh bien, plus nous recevons de couverture médiatique, plus cela contribuera à faire connaître notre marque aux consommateurs.
MMA: Depuis notre dernière conversation, vous ne travailliez qu’avec une poignée de banques, telles que ING. Pouvez-vous nous parler de la façon dont l’entreprise s’est développée et avec qui vous vous associez maintenant ?
Mo : Au cours de la dernière année aux États-Unis, nous avons constaté un changement important dans le montant des intérêts que nous recevons des banques, en particulier en ce qui concerne les services bancaires aux entreprises. Il semble que les banques s’en inquiètent vraiment, car beaucoup ont subi des pertes de fraude assez importantes. À l’heure actuelle, en Amérique du Nord, environ 50 banques utilisent notre technologie, et peu d’autres au Royaume-Uni.
Lisez la suite après le saut pour connaître mes réflexions sur ce logiciel et une discussion sur certains des logiciels malveillants qui ciblent spécifiquement Rapport.
MMA: En résumé, que fait votre entreprise pour les banques avec lesquelles vous travaillez ?
Mo : Chaque banque que nous signons, nous analysons les anciens incidents de fraude et trouvons quelles variantes de logiciels malveillants les attaquent, ainsi que leurs clients. Nous nous assurons ensuite d’avoir plusieurs couches de protection côté serveur qui peuvent faire face à ces menaces.
MMA: Travaillez-vous avec des banques qui rendent votre logiciel obligatoire comme condition préalable à la banque en ligne ?
Mo : Nous avons quelques banques qui ont récemment signé et prévoient de le rendre obligatoire pour les services bancaires aux entreprises.
MMA: Pouvez-vous dire lesquelles ?
Mo : Pas tout de suite. Ce ne sont pas de grandes banques, chacune compte environ 5 000 à 10 000 entreprises clientes. Nous allons donc en quelque sorte expérimenter cela. Mais actuellement, nous ne recommandons pas à nos clients de le rendre obligatoire.
MMA: Pourquoi pas?
Mo : Eh bien, en fonction de la façon dont cela se passe avec ces deux banques, nous pouvons changer notre approche. La raison principale est que nous ne voulons pas que cela soit perçu comme quelque chose qui est imposé aux clients. Cela génère une ambiance négative avec les clients et nous ne voulons vraiment pas cela. Nous voulons pousser les banques à éduquer leurs clients sur le problème.
MMA: J’ai remarqué qu’il y en avait plusieurs échantillons de logiciels malveillants récents cette attaque ou désactiver Rapport. Pensiez-vous que votre logiciel deviendrait une cible à un moment donné ?
Mo : C’était certainement l’une des principales hypothèses que nous avions : que si nous réussissons à empêcher les logiciels malveillants de commettre des fraudes, nous deviendrons une cible sérieuse pour les criminels. Nous assistons à des attaques ciblées provenant de grands criminels organisés qui s’efforcent de trouver des moyens de contourner notre solution.
MMA: Si j’installe Rapport et ma banque dans une institution qui l’utilise également de leur côté, à quoi puis-je m’attendre ?
Mo : Notre logiciel s’intègre au site de la banque et communique avec le [Rapport] logiciel installé sur les ordinateurs des clients, et les deux peuvent fonctionner ensemble afin que la banque puisse mesurer efficacement ce que le logiciel fait sur le bureau du client. Chaque fois que le client se connecte au site de la banque, la banque sait si Rapport est là, s’il est à jour, s’il a été attaqué ou compromis.
MMA: Votre logiciel est donc livré avec des mises à jour, un peu comme une solution antivirus ?
Mo : Nous poussons essentiellement les mises à jour presque sur une base hebdomadaire. Il ne s’agit pas de mises à jour de signature, mais de mises à jour de nos mécanismes de sécurité concernant le fonctionnement du produit.
MMA: Vous êtes donc assez sûr que votre logiciel peut détecter et bloquer la plupart des attaques que nous voyons comme le cheval de Troie ZeuS et d’autres menaces sophistiquées ?
Mo : Avec ZeuS, nous avons plusieurs couches de protection. De toute évidence, la technologie de base consiste à empêcher ZeuS d’entrer dans le navigateur en premier lieu. En plus de cela, nous avons ajouté quelques couches de protection au cours des deux dernières années, afin d’empêcher le téléchargement de ZeuS sur les machines des clients, et nous empêchons l’installation de ZeuS.
Mais jetez un coup d’œil aux principales solutions disponibles pour lutter contre ces menaces : les logiciels antivirus. La détection pour des choses comme [the latest, most advanced versions] de ZeuS par un logiciel antivirus est passé d’environ 50 % à près de zéro, car le [ZeuS author] a tout changé pour que même après son installation, il semble complètement différent d’un ordinateur à l’autre.
Cela dit, notre logiciel n’est pas une solution miracle à quoi que ce soit. Cela ne résoudra pas tous les problèmes des banques et de l’industrie. Mais nous pensons qu’il ajoute une réelle valeur ajoutée, en particulier lorsqu’il est intégré aux mécanismes de détection des fraudes plus importants d’une banque.
ANALYSE
Le produit de Trusteer relève certainement la barre pour les auteurs de logiciels malveillants et les oblige à déployer des attaques spécifiques à Rapport pour implanter des logiciels malveillants sur le PC d’un utilisateur. Entreprise de sécurité espagnole S21sec a déclaré récemment qu’il avait confirmé dans des tests en laboratoire « que ZeuS ne peut saisir aucune donnée dans une machine sur laquelle ce logiciel est installé. Malheureusement, les gars de ZeuS ne se sont pas contentés de paresser ; dans l’un des derniers échantillons du cheval de Troie, nous avons vu comment ZeuS, juste après avoir infecté un ordinateur, télécharge et exécute un deuxième fichier dont le but est de rendre ce logiciel inutile.
Néanmoins, je pense que Rapport serait un ajout décent et à faible impact à la sécurité de tout utilisateur de PC effectuant des opérations bancaires en ligne avec Windows. Mais je suis un peu hésitant à recommander cela aux entreprises, principalement parce que les entreprises qui perdent de l’argent en raison du vol d’informations d’identification bancaires en ligne sont presque toujours responsables de ces pertes. De plus en plus, cependant, les entreprises victimes finissent par poursuivre leurs banques pour récupérer une partie des pertes, arguant généralement que leurs banques auraient dû faire plus pour détecter la fraude.
Dans ces cas, une question juridique critique qui se pose souvent est de savoir si les voleurs ont compromis le système du client ou celui de la banque. Je mentionne cela parce que Trusteer a récemment intégré un nouveau composant dans Rapport appelé Lampe de poche, qui tente de donner aux banques partenaires la possibilité de vérifier à distance si les systèmes de leurs clients sont infectés par des logiciels malveillants. On ne sait pas si les banques utiliseront de manière proactive cette fonctionnalité pour arrêter la fraude bancaire en ligne, mais une telle fonctionnalité rendrait plus difficile pour les petites et moyennes entreprises qui perdent de l’argent à cause de la fraude bancaire en ligne de prétendre que leurs ordinateurs n’étaient pas la seule cause de la perte.