Plusieurs banques suisses ont pris récemment des mesures pour renforcer la sécurité de leur système de banque en ligne. La Banque cantonale de Zurich et Raiffeisen proposent des systèmes demandant au client de confirmer chaque transfert de fonds sur son téléphone mobile, tandis que la Banque Migros va fournir à ses clients un dispositif externe se connectant à l'ordinateur via une prise USB, contenant un programme de communication et une carte à puce pour l'identification. D'autres établissements, notamment UBS et Credit Suisse, ainsi que la Banque Cantonale Vaudoise, préparent également des réponses aux nouveaux stratagèmes mis en œuvre par les pirates informatiques pour voler les clients des banques sur Internet.

Car la sécurité des services de banque en ligne est un véritable problème. Il y a un an et demi, la banque Nordea annonçait que des pirates étaient parvenus à voler 7 à 8 millions de couronnes suédoises (1,2 à 1,4 million de francs) à quelque 250 de ses clients en Suède. Le stratagème était du genre raffiné... et éprouvé, puisqu'il s'agissait d'un cheval de Troie remis au goût du jour.

De même qu'Ulysse a imaginé le moyen de faire entrer des soldats grecs dans la ville de Troie en les dissimulant dans un cheval de bois géant censé être un cadeau, les pirates informatiques cherchent à pousser l'utilisateur à introduire lui-même dans son ordinateur un logiciel malveillant, en donnant à ce dernier une apparence sûre. En référence à l'épisode mythologique éponyme, ces logiciels sont appelés par les informaticiens Chevaux de Troie. Dans le cas de Nordea, il s'agissait d'un programme présenté comme un système de lutte contre le courrier électronique indésirable joint à un message prétendant venir de la banque elle-même.

Victimes remboursées

Mais, quand l'utilisateur voulait accéder au site de banque électronique, ce logiciel malveillant le redirigeait discrètement vers une copie conforme aux mains des pirates. Les mots de passe et codes d'accès tombaient aux mains de ces derniers, qui se sont dépêchés de les utiliser pour effectuer des transferts à leur profit. D'après certains analystes, les détournements seraient en fait dus à plusieurs équipes de pirates, et non à une seule, utilisant des méthodes différentes. Quoi qu'il en soit, les victimes ont été remboursées. De plus, il semble que, à l'époque, Nordea n'était pas à la pointe du progrès.

Il reste que des systèmes de sécurité qui étaient jusqu'à récemment réputés inviolables peuvent en fait être contournés par des pirates habiles. Il s'agit de boîtiers de la taille d'une calculette de poche, qui génèrent des codes d'accès qui ne seront valables que quelques dizaines de seconde, souvent dans une situation bien précise.

Là aussi, la menace vient de Chevaux de Troie. Les spécimens en cause se greffent dans le logiciel de navigation sur Internet. Ils ne volent pas de mots de passe - ils n'en ont pas besoin - mais parasitent une session de banque en ligne. Ils manipulent discrètement les données d'un paiement, destinataire et somme, et de la confirmation, pour que l'utilisateur ne se doute de rien.

La Suisse est aussi concernée. La Centrale d'enregistrement et d'analyse pour la sûreté de l'information de la Confédération (Melani) met régulièrement en garde contre des attaques de pirates, dont certaines sont ciblées. Notamment, des hackers sont parvenus l'an dernier à voler de cette manière des clients d'UBS. Les victimes ont été remboursées, précise la banque, qui ne donne pas d'indication sur les montants concernés.

De même, la branche ne veut pas chiffrer les dommages annuels. Ceux-ci semblent toutefois limités. «Ils sont en tout cas inférieurs aux coûts des dommages à la réputation», estime Thomas Avedik, directeur du secteur banque en ligne de l'éditeur de logiciels Crealogix.

Pour les banques suisses, agir est devenu d'autant plus indispensable que les pirates ont trouvé le moyen de charger des Chevaux de Troie directement depuis un site internet, sans que l'utilisateur fasse quelque chose de faux ni que les programmes de sécurité, antivirus et pare-feu, remarquent rien. «Mais il ne faut pas céder à la panique: un utilisateur a très peu de chance de voir son PC infecté par ce genre de logiciels malveillants», relève Thomas Avedik. Et même si les logiciels de sécurité ne constituent pas une parade fiable à 100%, il est important de continuer à les utiliser pour se protéger des menaces moins sophistiquées.

Deuxième canal

L'utilisation d'un deuxième canal - le téléphone mobile - pour confirmer les ordres est une parade sûre, relève l'expert. Selon la Banque Migros, c'est également le cas de son système externe. Les grandes banques n'ont pas encore indiqué quels systèmes elles comptent mettre en œuvre. Ceux-ci ne s'appuieront pas forcément sur une confirmation des ordres passant par un téléphone mobile: un tel dispositif serait dans la pratique inutilisable pour une entreprise qui a de très nombreux paiements. La sécurité n'est qu'une des contraintes, à côté des coûts et du confort d'utilisation.