Voici le contenu du courrier (Médias24 en détient copie) adressé récemment aux banques par la Direction de la supervision bancaire de BAM, concernant cette fraude potentielle survenue au cours de ce premier trimestre :

"Nous vous informons d'une potentielle fraude aux virements via l'application banque en ligne particuliers d'une banque de la place, via des interceptions des messages SMS contenant des mots de passe provisoires et OTP (one-time password, NDLR) dans le cadre de la fonctionnalité recalculée du modèle de passe intégrée au niveau de l'application mobile.

"Les fraudeurs semblent cibler des comptes inactifs. En interceptant les SMS, ils exécutent des virements généralement de valeur proche ou même égale au plafond hebdomadaire via l'application.

"Aussi, nous vous demandons de faire les diligences et recherches nécessaires à ce sujet afin d'identifier des comportements similaires auprès de vos accès clients sur ce premier trimestre et nous tenir informés des résultats de vos investigations en faisant le zoom sur les opérations sensibles transactionnelles basées sur des validations SMS".

(Fin du courrier)

L'identité de la banque n'est pas précisée, mais le fait que BAM en informe tout le secteur et exige des vérifications suggère que cette fraude soupçonnée peut être généralisée. Avec l'accélération de la digitalisation des services bancaires, les cas de fraude sur internet se multiplient partout dans le monde et ciblent les clients de toutes les banques. Cela dit, ces dernières ont le devoir de sécuriser au maximum leurs systèmes et plateformes de banque en ligne. 

Pour le cas des fraudes aux virements sur internet, les hackers piratent les comptes d'application de mobile banking des clients et effectuent des virements pour leur propre compte. Les opérations transactionnelles nécessitant une deuxième confirmation par un code envoyé par SMS, ces hackers interceptent les SMS de code envoyés par les banques pour valider les opérations.

“L’accélération de la digitalisation des services bancaires transactionnels est une opportunité pour les cyberattaques. Sous l’effet de la course effrénée entre les banques pour la démocratisation de nouveaux services de mobile banking, les hackers s’activent pour identifier les failles des applications surtout que plusieurs projets sont déployés dans la précipitation et sans prendre en considération les risques potentiels de vulnérabilité”, explique le directeur général d’une société experte dans la sécurité de systèmes d’information, qui a requis l’anonymat.

La multiplication des incidents sur les applications de mobile banking résulte non seulement de la pression de la concurrence interbancaire mais aussi d’une problématique de gouvernance au niveau des systèmes d’information dans les banques au Maroc.

“Selon les bonnes pratiques de sécurité, la fonction du responsable de la sécurité des systèmes d’information (RSSI) doit être rattachée à la direction générale ou la direction des risques. Or, au Maroc, dans plusieurs organismes y compris certaines banques, le RSSI est placé sous la responsabilité du directeur des systèmes d'information (DSI)”, souligne un autre expert spécialisé dans la détection des cyberattaques, qui a requis lui aussi l’anonymat.

Ce rapport hiérarchique direct entre DSI et RSSI, explique, en partie, le déploiement rapide de solutions de e-banking sous l’effet de la pression du “Go To Market” des directions marketing et des systèmes d’information sur le RSSI dans un contexte de concurrence effrénée entre les “digital factory” des banques.