Wifi & Bluetooth : comment les voleurs peuvent utiliser votre smartphone pour vider votre compte en banque

Atlantico : Est-il possible aujourd'hui qu'une personne mal intentionnée puisse accéder à nos données bancaires via nos smartphones lorsqu'ils sont connectés sur un réseau wifi ? Comment ?

Geoffrey Delcroix & Stéphane Petitcolas : La plupart des applications bancaires utilisent le protocole SSL, ce qui signifie que les données échangées sont chiffrées. Les données bancaires ne peuvent donc pas être récupérées de manière lisible. Et ce quand bien même l'application nécessite un identifiant et un mot de passe, ces derniers ne seront pas lisibles. Néanmoins, rien n'est jamais impossible à déchiffrer. Il existe en effet des méthodes pour déchiffrer les protocoles sécurisés.

En revanche, les applications faites par des tiers comme des applications permettant de gérer ses finances sont plus exposées. L'utilisateur doit y entrer ses login et ses mots de passe, laissant la possibilité au développeur de l'application d'y avoir accès. Il s'agit d'être particulièrement vigilent quant aux applications qui ne sont les applications des banques.  

Lorsque l'on est connecté à un réseau wifi public ou inconnu, un tiers peut effectivement avoir accès à toutes les communications ayant lieu sur ces réseaux. Et dans ce cas, il existe un risque de vol de données.

Quels sont les risques de se faire voler ses données via le bluetooth de son téléphone ?

Le Bluetooth est une technologie déjà ancienne et plutôt fiable. Néanmoins, certains smartphones ont enregistré des failles de sécurité. C'est par exemple la cas su Samsung Galaxy S4 au moment de sa sortie. Les cas les plus fréquents de fraudes aux données bancaires relèvent de l'attaque de masse. Il est plus rare de récupérer les données d'une personne de façon marginale. Le risque est que certains acteurs conservent vos données bancaires et se les fassent voler par la suite directement dans leurs bases de données.  

La CNIL a d'ailleurs sanctionné les acteurs qui conservaient les données bancaires.

Est-il possible de se connecter sur des bornes wifi en toute sécurité ? Quelle est la démarche à suivre ?

Lorsque vous vous connectez sur un réseau wifi public, il est effectivement conseillé de ne pas consulter des données personnelles. Vous disposez en effet de très peu de contrôle sur les communications ayant lieu sur les réseaux publics.

Néanmoins, comme nous l'avons mentionné précédemment, certaines applications sont plus fiables que d'autres.

Lorsque vous êtes connecté via un ordinateur, si la communication est cryptée par un protocole SSL, un cadenas s'affichera dans la barre à côté de l'URL. C'est un moyen de savoir si vous utilisez un site sécurisé. En revanche, sur les applications mobiles, aucun moyen ne permet de le savoir.  

Les banques disposent-elles des moyens nécessaires pour savoir lorsqu'une intrusion de ce genre a lieu ?

Tout dépend de comment vos données bancaires ont été dérobées. Si elles sont récupérées via votre téléphone, votre banque n'y verra probablement rien. En revanche, si votre constate une connexion via le réseau 3G Français, puis quelques minutes plus tard une connexion du Kurdistan, cela constituera une alerte. L'intrusion en elle-même ne sera pas détectée mais l'action du téléphone éveillera les soupçons de votre banque.

Quels sont les recours une fois que les faits ont eu lieu ?

En ce qui concerne les cartes bancaires, vous êtes responsable du secret, c'est-à-dire que la confidentialité de votre code Pin relève de votre responsabilité. En revanche si les informations bancaires sont utilisées, vous ne serez pas considéré comme responsable.