Selon le rapport du forum 2018 de l’OCDE, les cyberattaques constituent le troisième risque identifié au niveau mondial, après les catastrophes naturelles et les phénomènes climatiques. Ainsi, des experts américains s’accordent sur le fait que le prochain 11 septembre sera une cyberattaque majeure et de grande ampleur. Par ailleurs, des recherches récentes ont révélé une nouvelle technique d’attaque visant à récupérer les identifiants et informations bancaires des internautes grâce à un malware et un outil utilisé quotidiennement : le moteur de recherche.

Il s’agit en fait d’une variante de la technique “Black Hat SEO”, ou “Search Poisoning”, impliquant des voleurs qui créent de faux sites et utilisent des attaques de phishing et de typo-squatting pour attirer les victimes. Cependant, la nouvelle approche compromet des sites web officiels, qui génèrent un trafic important et bénéficient d’évaluations positives.

Les hackers boostent alors les campagnes de référencement de ces sites pour améliorer leurs positions dans les moteurs de recherche. Par exemple, un utilisateur va taper ” télécharger l’appli mobile X “, ou encore, ” comment annuler un chèque de la banque X ” ; il verra des résultats à priori sans danger et de confiance, puisque notés cinq étoiles, et cliquera naturellement dessus. Un document Word se téléchargera automatiquement et le malware qu’il contient se déploiera pour accéder aux informations privées de l’internaute. Cette technique d’attaque créative vise essentiellement les utilisateurs de services bancaires en ligne et sur mobile, et reste difficile à combattre.

Sophistiquées et fructueuses

Ce procédé pour voler des identifiants peut sembler fastidieux et, compte tenu de la qualité des campagnes de référencement déployées, leurs auteurs auraient clairement pu faire des carrières honnêtes dans le marketing digital ; mais il peut rapporter beaucoup. En effet, selon une étude de l’institut Ponemon, les attaques réussies visant l’industrie des services financiers ont triplé au cours des cinq dernières années. En moyenne, le coût estimé pour ces organisations est de 18,28 millions de dollars en 2017, contre 11,7 millions pour les autres industries. Il est donc urgent pour ces entreprises de protéger les informations de leurs clients de cette menace sophistiquée.

À la recherche de solutions

Dans une certaine mesure, Google a permis de contenir les attaques “SEO poisoning” avec l’utilisation du “https”, obligeant les cybercriminels à intégrer le chiffrement pour bien se placer dans les résultats des moteurs de recherche. Ces derniers ont en outre tout intérêt à réduire la faisabilité des opérations malveillantes, pour conserver une bonne image et la confiance des internautes. Cependant, les banques – et toute autre institution financière – qui cherchent à se protéger de ces attaques ont besoin d’une sécurisation plus robuste. Une technologie basée sur l’authentification de l’identité numérique, via l’analyse comportementale et l’apprentissage automatique, reconnait ainsi plus rapidement et de façon plus fiable les clients légitimes. Elle peut même détecter des menaces naissantes, telles que de nouveaux malwares ou chevaux de Troie.

Pour assurer une sécurité optimale et débusquer les attaques les plus sophistiquées, les outils déployés par les entreprises doivent aussi reconnaitre et bloquer les cybercriminels utilisant d’autres méthodes de compromission ; qu’il s’agisse de phishing par emails, de mots de passe partagés (donc vulnérables), ou encore de données volées disponibles sur le Dark Web. Il est également primordial que l’analyse effectuée par les solutions en place s’opère en temps réel, afin de garantir une expérience client fluide, et surtout la mise en place de mesures immédiates en cas de menace avérée. Par conséquent, tant qu’une telle protection ne sera pas déployée largement par les entreprises, les utilisateurs réfléchiront à deux fois avant de cliquer sur des liens référencés à l’issue d’une recherche, notamment lorsqu’elle sera liée à un service bancaire.