En direct
Best of
Best of du 4 au 10 mai 2019
En direct
© Flickr
Braquage 3.0
Wifi & Bluetooth : comment les voleurs peuvent utiliser votre smartphone pour vider votre compte en banque
Publié le 10 mai 2014
Avec
Via les réseaux Wifi ou encore le bluetooth de votre smartphone, il est possible pour d'habiles voleurs de vider vos comptes en banque.
Geoffrey Delcroix est chargé de projet innovation et prospective à la CNIL. Stéphane Peticolas est ingénieur au service de l'expertise à la CNIL.  
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Geoffrey Delcroix est chargé de projet innovation et prospective à la CNIL. Stéphane Peticolas est ingénieur au service de l'expertise à la CNIL.  
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Via les réseaux Wifi ou encore le bluetooth de votre smartphone, il est possible pour d'habiles voleurs de vider vos comptes en banque.
Avec

Atlantico : Est-il possible aujourd'hui qu'une personne mal intentionnée puisse accéder à nos données bancaires via nos smartphones lorsqu'ils sont connectés sur un réseau wifi ? Comment ?

Geoffrey Delcroix & Stéphane Petitcolas : La plupart des applications bancaires utilisent le protocole SSL, ce qui signifie que les données échangées sont chiffrées. Les données bancaires ne peuvent donc pas être récupérées de manière lisible. Et ce quand bien même l'application nécessite un identifiant et un mot de passe, ces derniers ne seront pas lisibles. Néanmoins, rien n'est jamais impossible à déchiffrer. Il existe en effet des méthodes pour déchiffrer les protocoles sécurisés.

En revanche, les applications faites par des tiers comme des applications permettant de gérer ses finances sont plus exposées. L'utilisateur doit y entrer ses login et ses mots de passe, laissant la possibilité au développeur de l'application d'y avoir accès. Il s'agit d'être particulièrement vigilent quant aux applications qui ne sont les applications des banques.  

Lorsque l'on est connecté à un réseau wifi public ou inconnu, un tiers peut effectivement avoir accès à toutes les communications ayant lieu sur ces réseaux. Et dans ce cas, il existe un risque de vol de données.

Quels sont les risques de se faire voler ses données via le bluetooth de son téléphone ?

Le Bluetooth est une technologie déjà ancienne et plutôt fiable. Néanmoins, certains smartphones ont enregistré des failles de sécurité. C'est par exemple la cas su Samsung Galaxy S4 au moment de sa sortie. Les cas les plus fréquents de fraudes aux données bancaires relèvent de l'attaque de masse. Il est plus rare de récupérer les données d'une personne de façon marginale. Le risque est que certains acteurs conservent vos données bancaires et se les fassent voler par la suite directement dans leurs bases de données.  

La CNIL a d'ailleurs sanctionné les acteurs qui conservaient les données bancaires.

Est-il possible de se connecter sur des bornes wifi en toute sécurité ? Quelle est la démarche à suivre ?

Lorsque vous vous connectez sur un réseau wifi public, il est effectivement conseillé de ne pas consulter des données personnelles. Vous disposez en effet de très peu de contrôle sur les communications ayant lieu sur les réseaux publics.

Néanmoins, comme nous l'avons mentionné précédemment, certaines applications sont plus fiables que d'autres.

Lorsque vous êtes connecté via un ordinateur, si la communication est cryptée par un protocole SSL, un cadenas s'affichera dans la barre à côté de l'URL. C'est un moyen de savoir si vous utilisez un site sécurisé. En revanche, sur les applications mobiles, aucun moyen ne permet de le savoir.  

Les banques disposent-elles des moyens nécessaires pour savoir lorsqu'une intrusion de ce genre a lieu ?

Tout dépend de comment vos données bancaires ont été dérobées. Si elles sont récupérées via votre téléphone, votre banque n'y verra probablement rien. En revanche, si votre constate une connexion via le réseau 3G Français, puis quelques minutes plus tard une connexion du Kurdistan, cela constituera une alerte. L'intrusion en elle-même ne sera pas détectée mais l'action du téléphone éveillera les soupçons de votre banque.

Quels sont les recours une fois que les faits ont eu lieu ?

En ce qui concerne les cartes bancaires, vous êtes responsable du secret, c'est-à-dire que la confidentialité de votre code Pin relève de votre responsabilité. En revanche si les informations bancaires sont utilisées, vous ne serez pas considéré comme responsable. 

Les commentaires de cet article sont à lire ci-après
Commentaires (1)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
*Toute validation est définitive, vous ne pourrez pas rééditer votre commentaire.
Ali ce
- 10/05/2014 - 10:52
carte bancaire
attention aux sites comme Amazon ou Apple store qui enregistrent les cartes bancaires, la première fois on ne se rend compte de rien, c'est au 2ème achat que l'on voit que la carte est restée active, mon mari a eu son compte Itunes piraté il y a bien longtemps, tout à été remboursé très vite par Apple, mais la leçon est restée gravée. On utilise des numéros uniques et sécurisées pour les transactions, et on retourne très vite dans les données du compte par exemple Amazone pour tout effacer avant de quitter le site.