Faible sécurité, les paiements en ligne dans les banques devraient être temporairement interrompus
Les experts affirment que le 8 avril, environ 15 sites Web de banque en ligne de banques vietnamiennes et passerelles de paiement ont été attaqués par des pirates informatiques, via la vulnérabilité de sécurité OpenSSL Heartbleed.
Avec l’échelle ci-dessus, les experts affirment que la quantité d’informations sensibles liées aux cartes et aux comptes de connexion volés ne peut pas être estimée.
 |
Auparavant, l'erreur OpenSSL Heartbleed, qui serait capable de menacer des millions de comptes de transactions en ligne via des passerelles de paiement et des sites Web bancaires, avait été annoncée sur le plus grand forum du monde Reddit et sur le site Web Heartbleed.com dans la soirée du 7 avril.
Selon M. Nguyen Hong Phuc, expert du forum de sécurité HVA Online, l'erreur OpenSSL Heartbleed est considérée comme extrêmement dangereuse par les experts, car elle est liée à l'infrastructure du système de sécurité. « Cette erreur se situe dans la plateforme de chiffrement la plus élémentaire. Si le système est affecté par cette erreur, on considère que toutes les autres couches de chiffrement sont compromises », a déclaré M. Phuc.
Guide des cyberattaques
Actuellement, les transactions Internet sont sécurisées grâce au protocole de cryptage SSL/TLS. Cette plateforme permet de crypter les connexions Internet, empêchant ainsi toute interférence entre les données des utilisateurs envoyées au serveur.
Cependant, la faille Heartbleed d'OpenSSL permet aux pirates d'accéder au cache OpenSSL, qui contient des données sensibles déchiffrées telles que les informations de carte bancaire, les numéros de carte de crédit et les identifiants de connexion (noms d'utilisateur et mots de passe). Après avoir volé ces informations, les pirates peuvent dérober l'argent du compte et exploiter la base de données personnelle de l'utilisateur pour une exploitation ultérieure.
La seule recommandation donnée par la plupart des experts réputés de la communauté internationale de sécurité à l'heure actuelle est que les utilisateurs et la communauté doivent suspendre temporairement toutes les transactions en ligne via les passerelles de paiement et les services bancaires en ligne jusqu'à ce que les passerelles de paiement et les passerelles bancaires en ligne confirment officiellement que leurs sites Web sont sûrs. |
Le danger du bug OpenSSL Heartbleed réside dans le fait que, quelques heures seulement après son annonce, le code d'exploitation initial ciblant ce bug a été publié en ligne par des pirates. Dans l'après-midi du 8 avril, les outils d'exploitation complets étaient déjà disponibles sur Internet. « Ces outils permettent à des personnes disposant de connaissances de base d'attaquer n'importe quel système vulnérable », a déclaré M. Phuc.
Les paiements en ligne devraient être suspendus.
Selon un représentant de HVA Online, la correction de l'erreur n'a pas été difficile, le correctif ayant été mis en ligne le soir du 7 avril. Cependant, pour les systèmes de grande taille, sa gestion est très longue. Le 8 avril, des experts ont identifié une série d'attaques sur de nombreux sites web majeurs à travers le monde, dont Yahoo.com. Yahoo a mis environ 24 heures à corriger cette vulnérabilité.
Selon HVA Online, des experts en sécurité vietnamiens ont été informés de l'erreur dans la nuit du 7 avril et ont surveillé en permanence les erreurs afin d'en informer la communauté des administrateurs système. Le 8 avril, HVA Online a constaté que plusieurs sites de services en ligne majeurs avaient corrigé l'erreur dans la matinée. Dans l'après-midi du 8 avril, lorsque l'outil d'exploitation a commencé à gagner en popularité, des rapports ont montré qu'une quinzaine de sites web de banques en ligne et de passerelles de paiement vietnamiennes avaient été attaqués. Selon HVA Online, la quantité d'informations sensibles volées, telles que les informations de carte et les identifiants de connexion, ne peut être estimée.
Selon HVA Online, hier matin (9 avril), la plupart des pages d'accueil de banque en ligne des banques ont été corrigées, mais on ignore encore si l'ensemble du système bancaire en ligne a été corrigé. Selon M. Phuc, il faut généralement 24 à 48 heures à une banque pour mettre à jour le correctif des couches périphériques externes. Cependant, l'infrastructure des banques étant très vaste, les transactions internes et externes sont cryptées, la correction des erreurs au niveau interne peut prendre plus de temps.
Les passerelles de paiement confirmées par HVA Online ont été corrigées, pour la plupart dans l'après-midi du 8 avril, notamment smartlink, 123pay et paygate. Le soir du 8 avril, des experts en sécurité signalaient encore que des passerelles telles que nganluong.vn et onepay.vn n'avaient pas été corrigées. Selon les recommandations des experts en sécurité, les banques doivent immédiatement mettre à jour OpenSSL vers la dernière version, redémarrer (forcer) le système et modifier immédiatement le certificat numérique SSL sur l'ensemble du système utilisant OpenSSL. Cette erreur ouvre la voie à une exploitation non seulement sur l'environnement web, mais également sur tous les environnements utilisant la bibliothèque OpenSSL.
Selon M. Phuc, la seule recommandation émise par la plupart des experts internationaux de la sécurité à l'heure actuelle est que les utilisateurs et la communauté suspendent temporairement toutes les transactions en ligne via les plateformes de paiement et les services bancaires en ligne jusqu'à ce que ces plateformes confirment officiellement la sécurité de leurs sites web. M. Phuc recommande également à ceux qui ont utilisé des services bancaires en ligne ou des plateformes de paiement en ligne depuis le 7 avril de changer leurs mots de passe, car il existe un risque que leurs informations de compte aient été divulguées à leur insu.
Vérifiez à nouveau votre système de sécurité M. Nghiem Sy Thang, directeur général adjoint de la Lien Viet Commercial Joint Stock Bank (LienVietPostbank) en charge des technologies de l'information, des cartes et des services bancaires électroniques, a affirmé que les sites de paiement de l'ensemble du système LienVietPostBank sont toujours sûrs, sans aucun signe d'attaque, mais « nous les examinerons en profondeur et si nous trouvons des vulnérabilités, nous émettrons immédiatement des avertissements aux clients. » Le directeur général adjoint de Vietcombank, Dao Minh Tuan, a reconnu : « La nouvelle vulnérabilité est également très grave, nous allons donc réexaminer immédiatement l'ensemble de l'infrastructure du réseau pour empêcher la possibilité d'attaques de pirates informatiques », a déclaré M. Tuan, tout en conseillant aux clients d'être prudents lorsqu'ils utilisent des informations sur des sites de transactions en ligne. M. Nguyen Xuan Hoa, directeur du Centre des technologies de l'information de la BIDV, a également déclaré : « Nous avons signé un contrat avec l'A70 (Département des services techniques - Département général de la sécurité) et la BKAV pour effectuer des contrôles réguliers. L'équipe technique de la banque surveille, gère et contrôle également les attaques. Par le passé, nous avons détecté et empêché de nombreuses attaques sur OpenSSL du système BIDV. » |
Selon Thanh Nien
