IBM cherche à sécuriser les services bancaires par Internet avec clé USB

Le laboratoire de recherche d'IBM à Zurich a développé une clé USB qui, selon l'entreprise, peut assurer des transactions bancaires sûres même si un PC est infecté par des logiciels malveillants.

Un prototype de l'appareil, ZTIC (Zone Trusted Information Channel) est exposé pour la première fois au salon Cebit cette semaine. IBM espère inciter les banques à l'acheter pour la banque en ligne, ce qui permet aux banques d'économiser sur les coûts de personnel mais est constamment assiégé par les pirates.

Connecté à un ordinateur, ZTIC est configuré pour ouvrir une connexion sécurisée SSL (Secure Sockets Layer) Michael Baentsch, chef de produit pour BlueZ Business Computing au laboratoire de Zurich

[Plus d'informations: Comment supprimer les logiciels malveillants sur votre PC Windows]

ZTIC est également un lecteur de carte à puce et peut accepter carte bancaire d'une personne pour vérification. Une fois qu'un NIP (numéro d'identification personnel) est vérifié, une transaction peut être initiée via un navigateur Web.

Les navigateurs Web sont toutefois un point faible pour les services bancaires en ligne en raison des attaques dites de l'homme du milieu.

Les hackers ont créé des programmes malveillants qui peuvent modifier les données lorsqu'ils sont envoyés au serveur Web d'une banque, puis afficher les informations que le consommateur souhaitait voir dans le navigateur. En conséquence, le compte bancaire d'une personne pourrait être vidé. Les attaques Man-in-the-middle sont également efficaces même si le client de la banque utilise un générateur de mot de passe à usage unique.

Le ZTIC contourne cependant le navigateur et va directement à la banque. Il assure que les données échangées sont exactes.

Par exemple, disons qu'un client d'une banque veut transférer de l'argent. Le client saisira US $ 100 dans un formulaire dans le navigateur. Les serveurs de la banque essaieront alors de confirmer le montant. Lors d'une attaque man-in-the-middle, l'attaquant est capable de transférer 1 000 $ mais peut modifier le message de confirmation pour afficher 100 $.

Comme il a une connexion sécurisée directe avec les serveurs de la banque, le ZTIC affichera le montant qui a effectivement été demandé d'être envoyé. Donc, même si le navigateur affiche une confirmation de 100 $, le ZTIC indiquera 1 000 $, indiquant une attaque de type «man-in-the-middle» en cours, a indiqué Baentsch. L'utilisateur saurait rejeter la transaction et appuyer sur le bouton "x" rouge sur le ZTIC.

"Si un logiciel malveillant attaque votre transaction bancaire en ligne, il vous montrera que quelque chose d'étrange est arrivé", a déclaré Baentsch. a dépensé beaucoup d'efforts pour comprendre comment initier une session SSL au sein d'une clé USB, a déclaré Baentsch. Il faut un peu de puissance de traitement, et puisque l'USB fonctionne indépendamment du PC, il n'a pas accès au processeur de l'ordinateur. ZTIC utilise une puce du concepteur de microprocesseur ARM, et le logiciel a été conçu pour établir rapidement Session SSL, a déclaré Baentsch. Bien qu'il s'agisse d'une clé USB, aucune donnée ne peut y être stockée, ce qui empêche également les logiciels malveillants de l'infecter.

L'utilisation de ZTIC permettrait également d'éviter les attaques de phishing lorsqu'un site Web frauduleux tente d'obtenir des informations sensibles d'un utilisateur. attaques de pharming, où les paramètres DNS (Domain Name System) ont été altérés, a déclaré Baentsch. ZTIC vérifie que le site Web dispose d'un certificat de sécurité valide.

IBM a des chiffres internes sur les coûts que les ZTIC pourraient engendrer pour les banques, mais Baentsch ne les révélerait pas, disant que cela dépendrait des spécifications de conception finales. le ZTIC et d'autres facteurs.