Une faille de securité touche la banque HSBC
Le système de paiements en ligne de la HSBC est faillible. L'information a été révélée par
The Guardian. La faille a été découverte par une équipe de chercheurs de l'Université de Cardiff.
D'après les informations du journal britannique, cette porte dérobée qui touche le système d'accès aux comptes en ligne, met en péril les informations bancaires de prés de 3,1 millions d'usagers de la banque depuis plus d'un an.
La vulnérabilité n'a pas été décrite dans le détail par les chercheurs, pour des raisons évidentes de sécurité. Ce que l'on sait, c'est que cette dernière repose sur l'utilisation d'un keylogger qui enregistre les frappes du clavier.
Pour Graham Cluley, consultant pour la société éditrice d'antivirus de Sophos interrogé par nos confrères de silicon.com : « à moins que les chercheurs de Cardiff ne donnent plus d'explications il s'agit là d'une non histoire. La seule chose que va apporter cette nouvelle, c'est un sentiment de panique des clients d'HSBC »
Lire aussi : Phishing : recrudescence des attaques par QR code
Rappelons que pour accéder à leurs comptes les clients d'HSBC doivent entre un mot de passe, une date de naissance et un numéro d'identification personnel ou code PIN.
Les universitaires de Cardiff déclarent que chaque compte peut être forcé en moins de neuf tentatives de hacking du site. Ceci en partant du principe que l'utilisateur du poste cible a bien installé à son insu le keylogger.
Du côté de HSBC, l'on joue la carte de l'innocence, et l'on ne prend pas franchement le problème à bras le corps, arguant du fait que la faille si elle existe n'a pas encore été exploitée.
L'institution explique même « être intéressée par une démonstration d'expert sur la façon de procéder. »
Le groupe précise tout de même dans un communiqué publié sur son site : « ils s'agit d'une attaque extrêmement sophistiquée qui requiert un savoir-faire particulier et surtout de cibler une seule victime. Il est donc probable que cela ne soit pas très rentable pour les criminels. »
Sur le même thème
Voir tous les articles Cybersécurité