Paiements hors ligne

Les entreprises sont particulièrement exposées aux cyberattaques.

  • 325
Votre argent13 septembre 2016

Payer hors ligne n'est pas hors risques

La Centrale d’enregistrement et d’analyse pour la sûreté de l’information de la Confédération (MELANI) prévient de l’émergence d’une nouvelle cyberattaque touchant les logiciels de paiement hors ligne. Pour éviter les mauvaises surprises, l’idéal est de procéder à ce type de paiements sur un ordinateur dédié.

Les entreprises sont particulièrement exposées à ces attaques, car elles utilisent des logiciels hors ligne qui leur permettent, sans être connectées à internet, de compiler un grand nombre d’ordres de paiement dans des fichiers. La connexion n’intervient que lors de l’envoi de ces fichiers aux banques.

Dans un premier temps, les pirates vont introduire via la messagerie un logiciel malveillant (maliciel) dans l’ordinateur de l’entreprise. Vous ouvrez le fichier ou cliquez sur le lien contenu dans un e-mail et vous êtes faits. Une fois dans la place, le maliciel va trouver le programme de paiement et passer à l’attaque: soit il prend le contrôle total du programme, soit il modifie les données bancaires dans le fichier des ordres avant l’envoi à la banque par l’utilisateur légitime.

Il est indispensable de protéger son ordinateur par des mesures élémentaires de sécurité (antivirus, pare-feu, etc). Mais la meilleure parade dans le cas précis est d’utiliser une machine dédiée aux paiements, juste connectée à internet pour l’envoi des fichiers d’ordres aux banques sans recevoir d’e-mails ni surfer. Un quasi-vase clos pour se prémunir contre les intrusions. C’est une solution assez simple à mettre en pratique. Dans la mesure du possible, il est aussi recommandé d’opter pour la validation collective des paiements, soit leur signature à deux, par exemple.

Les banques émettent sans cesse des recommandations de sécurité destinées à leurs clients. Il faut en prendre connaissance et, surtout, les appliquer rigoureusement.

 

Publié dans 24Heures le 13 septembre 2016

Par Fabien Mooser , Responsable de la sécurité de l'information et de la lutte contre la cybercriminalité

Ces articles pourraient vous intéresser

«Le passage à PAIN s’est bien passé, mais l’harmonisation du trafic des paiements se poursuit»

Le 30 juin, les ordres de paiement sont entrés dans une nouvelle ère. Fini le DTA et bonjour PAIN. Si cette étape de l’harmonisation du trafic des paiements s’est bien déroulée, d’autres vont suivre. Suite

Sécurité sur internet: ne soyez pas le maillon faible

En matière de sécurité informatique, prudence et esprit critique vont de pair. Suite

Sécurité informatique: gare aux e-mails piégés

En matière de sécurité informatique, la messagerie électronique est un vecteur très souvent utilisé. Les processus d’attaque, via e-mail, peuvent présenter diverses variantes. Suite