Les procédures biométriques sont vulnérables
De nombreuses organisations financières considèrent les solutions biométriques comme l'une des méthodes d'authentification les plus prometteuses pour les distributeurs automatiques de billets à l'avenir. Cependant, la biométrie offre également aux cybercriminels de nouveaux moyens de voler des informations sensibles.
Les distributeurs automatiques de billets sont dans la ligne de mire des criminels depuis des années. Au début, de simples Skimmer-Ces appareils étaient capables de voler des informations sur la bande magnétique de la carte bancaire et le code PIN à l'aide d'un faux champ de saisie ou d'une caméra. Avec l'introduction des cartes bancaires à puce et à pins, plus difficiles à copier, les appareils Shimmer sont apparus : ils ressemblent beaucoup aux anciens appareils Skimmer, mais peuvent lire les informations de la puce de la carte afin d'obtenir un code secret. Attaque par relais en ligne de l'utilisateur. Par exemple, les procédures d'authentification sans contact - par exemple via NFC (Near Field Communication) - peuvent également être contournées.
Pour pouvoir contrer de telles attaques, l'industrie bancaire travaille sur de nouvelles solutions d'authentification, dont certaines sont basées sur la biométrie.
Darknet : dispositifs de vol de données biométriques
Selon les experts de Kaspersky Lab, au moins douze fournisseurs de dispositifs d'écrémage capables de voler les empreintes digitales peuvent actuellement être identifiés dans le cyberespace. En outre, il existe au moins trois fournisseurs d'appareils capables de collecter illégalement des données de systèmes de reconnaissance des veines de la main et de l'iris.
Les experts de Kaspersky ont observé les premiers tests de pré-vente des skimmers biométriques dès septembre 2015. Quelques points faibles sont apparus à cette occasion. Le plus gros problème : les données biométriques devaient être envoyées via des modules GSM, mais la connexion était trop lente pour la taille du transfert de données. C'est pourquoi les nouvelles versions de Skimmer misent déjà sur d'autres méthodes de transfert de données plus rapides.
En outre, des discussions souterraines portent sur le développement d'applications mobiles permettant de placer des masques sur les visages humains. Avec une telle application, les pirates pourraient par exemple déjouer le logiciel de reconnaissance faciale via des photos postées dans les médias sociaux.
"Avec la biométrie, il est impossible de changer son empreinte digitale ou son iris, contrairement aux mots de passe et aux codes PIN qui peuvent être modifiés en cas de menace", explique Olga Kochetova, experte en sécurité chez Kaspersky. "Une fois que les données biométriques personnelles ont été volées, elles sont inutilisables pour les processus d'authentification. Il est donc extrêmement important de protéger ces données et de les transmettre de manière sécurisée. Les données biométriques sont également stockées dans les passeports et cartes d'identité modernes. Ainsi, si un tel document tombe entre les mains de criminels, ce n'est pas seulement la carte d'identité qui a été volée, mais aussi les données biométriques qu'elle contient et qui permettent d'identifier son propriétaire".
Le rapport complet de Kaspersky sur les futures cybermenaces pour les distributeurs automatiques de billets et les moyens pour les banques de se protéger peut être consulté sur ici peut être consulté.
