R a p p o rt d 'a ctiv itÃ© s 2 0 0 7 Rapport d'activitÃ©s 2007 - paperJam

More documents

Recommendations

Info

La surveillance des systEmes d’informations Bien que la mobilité constitue a priori, en l’état actuel des menaces cybercriminelles, une prise de risque supplémentaire, elle apporte néanmoins un premier élément de résilience en cas de crise, comme une pandémie ou d’éventuels problèmes d’accès au lieu de travail. 2.2. Délocalisation simultanée des systèmes comptables, de paiement et de réconciliation Dans la mesure où la réglementation européenne impose, pour assurer la traçabilité d’un virement, la révélation de l’identité du donneur d’ordre dans le cadre de la lutte contre le blanchiment et le financement du terrorisme, les professionnels concernés, et notamment les banques, ont dû informer leurs clients de cette situation. En effet, l’information au client est nécessaire afin qu’il obtienne un avis éclairé sur les conséquences d’une opération de virement et que ces virements soient alors considérés comme comportant un mandat implicite de fournir les informations d’identité tombant sous le secret professionnel, dans le but de permettre la finalité même de l’opération, c’est-à-dire le transfert de fonds ou autres valeurs. De ce fait, un certain nombre de banques appartenant à des groupes internationaux ont optimisé les systèmes de paiement et délocalisé leur accès à SWIFT auprès de leur maison mère ou auprès d’une entité spécialisée du groupe. La CSSF rappelle que cette délocalisation est possible, bien que des données confidentielles puissent y transiter, dans la mesure où les donneurs d’ordres ont connaissance du fait que le transfert comprend ce mandat implicite. Néanmoins, le professionnel financier qui procèdera à une délocalisation de ses systèmes de paiement ou de ses points d’accès à un système de paiement, devra être prudent quant aux conséquences d’une éventuelle fuite d’informations qui pourrait avoir lieu en dehors du cadre strict du transfert, puisque la finalité du transfert aura été atteinte et que la fuite aura lieu a posteriori, en raison d’un choix inadapté de l’externalisation. Sur ce point, la CSSF rappelle que le stockage, voire l’archivage des opérations de transfert ne devrait pas se faire à l’étranger. A ce risque vient s’ajouter celui d’une traçabilité accrue de l’ensemble des opérations d’un client devenu identifiable à la suite d’un virement, lorsque le système de paiement est délocalisé dans la même juridiction que le système principal d’informations ou de réconciliation des opérations. Il devient alors potentiellement possible de reconstruire l’historique des clients et de les rendre totalement transparents aux tiers. Une telle situation est incompatible avec la prudence qu’exige le secret professionnel et la CSSF ne peut dès lors soutenir d’externalisation qui combine à la fois l’accès délocalisé aux systèmes de paiement et au système principal d’informations du professionnel financier. 2.3. Etat des vulnérabilités constatées dans les services financiers par Internet L’année 2007 a été marquée par l’apparition d’une vague de tentatives de fraude par des criminels qui essaient de s’approprier les données d’authentification des clients afin de passer des opérations en leur nom. Alors que les années précédentes étaient caractérisées par des vagues de phishing, c’est-à-dire de courriers électroniques trompeurs qui incitent les clients des banques à se connecter sur un site illicite afin d’y entrer leurs données d’authentification, l’année 2007 a vu l’apparition de chevaux de Troie, également appelés «Trojans», spécialisés dans le vol d’informations. Un Trojan est un programme créé par le criminel dans le but de prendre le contrôle du PC infecté. L’infection est obtenue en exploitant des vulnérabilités du système d’exploitation du PC ou de certaines applications courantes. Une méthode courante d’infection consiste à pirater un site Internet connu et à y injecter un lien à l’aide d’un IFRAME, de telle sorte que chaque utilisateur qui surfe sur ce site et qui est insuffisamment protégé par un anti-virus se retrouve sur le site pointé par le lien et télécharge le premier Trojan. 150
CHAPITRE VIII Les investigations de cas rapportés ont montré que le premier Trojan permet au criminel d’installer tout autre Trojan de son choix, et ce à distance. Le criminel a donc la possibilité de tester différentes méthodes pour s’approprier les informations qui l’intéressent. Le lecteur pourra se référer au site Internet www.cases.lu du Ministère de l’Economie pour s’informer davantage sur le sujet de la sécurité informatique. Tous les acteurs concernés, y compris la CSSF, rappellent à cette occasion qu’il est de plus en plus crucial pour les utilisateurs de services financiers par Internet de protéger leur PC par un anti-virus de bonne qualité et très régulièrement mis à jour. L’ajout d’un pare-feu (firewall) est également conseillé pour limiter les accès illicites depuis le réseau. L’évolution des mécanismes de fraude impose une révision des recommandations faite par la CSSF dans son rapport spécifique de décembre 2001, intitulé «Services financiers par Internet, Résultats du recensement Internet au 31 décembre 2000 et recommandations portant sur les aspects prudentiels», et en particulier en ce qui concerne le point C. «Authentification du client/données confidentielles» qui décrit les mécanismes d’authentification. La CSSF avait à l’époque recommandé l’utilisation d’un «2FA», c’est-à-dire un Two factors authentication basé sur deux éléments caractéristiques : ce que l’on sait (mot de passe) et ce que l’on a (carte à digits ou token électronique). Cette recommandation est aujourd’hui insuffisante en raison de la nature des fraudes. Les deux catégories de fraudes constatées actuellement sont les suivantes : - Vol d’identité par phishing qui ne fonctionne que si le client s’est laissé abuser par un courrier électronique lui demandant de s’identifier sur son site bancaire habituel, mais dont le lien pointe sur une copie parfaite de ce site mis en place par le criminel. Ce genre de stratagème fonctionne de moins en moins, les clients étant de plus en plus informés sur le sujet. - Vol d’identité par Trojan qui «écoute» toutes les actions faites par le PC infecté du client. Dans ce cas, la sophistication du Trojan sera variable et évolutive. Le client peut contrer ces attaques par le recours à un anti-virus de qualité et régulièrement mis à jour. • Le Trojan pourra se contenter de transmettre au criminel les données introduites au clavier (keylogger) et une solution de clavier virtuel affiché à l’écran sera une réponse adéquate. • Le Trojan sera éventuellement à même d’envoyer au criminel une copie d’écran et les mouvements ou les clics de la souris. Le clavier virtuel devra alors contenir plusieurs caractères par touche afin de réduire la probabilité de trouver le code. • Le Trojan intercepte les informations avant la cryptographie SSL/TLS de la communication. Dans ce cas, le mécanisme doit éviter que le Trojan lise les caractères transmis, qui correspondraient à ceux de la carte à digits, permettant ainsi de reconstituer la carte. Ce sera donc une position du clavier (variable à chaque nouvelle session) qui devra être transmise au serveur de la banque, plutôt que le caractère de la carte. L’utilisation d’un mot de passe unique (one time password) pour la session permettra également de contrer ce type de Trojan. • Le Trojan intercepte les informations et s’intercale pour modifier les opérations. Dans ce cas, la parade consistera à signer la transaction par un mécanisme inattaquable par le Trojan. L’usage d’un one time password de session sera insuffisant puisque le criminel prend le contrôle en cours de session. Il n’est donc pas aisé de trouver une parade à l’évolution des Trojans, mais il est primordial d’anticiper les potentialités de ces virus et de connaître les faiblesses et limites du système d’authentification actuellement en place. 151
Page 1 and 2:
Rapport d’activités 2007
Page 3 and 4:
PREFACE Malgré la crise du subprim
Page 5 and 6:
TABLE DES MATIERES VIII LA SURVE
Page 7:
ORGANES DIRIGEANTS Les organes d
Page 10 and 11:
La surveillance des banques 1. L’
Page 12 and 13:
La surveillance des banques La vent
Page 14 and 15:
La surveillance des banques Situati
Page 16 and 17:
La surveillance des banques Bilan a
Page 18 and 19:
La surveillance des banques Ventila
Page 20 and 21:
La surveillance des banques La marg
Page 22 and 23:
La surveillance des banques Ratios
Page 24 and 25:
La surveillance des banques 1.8.2.
Page 26 and 27:
La surveillance des banques Le grap
Page 28 and 29:
La surveillance des banques 1.10. B
Page 30 and 31:
La surveillance des banques 2.3. Co
Page 32 and 33:
La surveillance des banques 2.7. Co
Page 34 and 35:
La surveillance des banques Parmi l
Page 36 and 37:
La surveillance des banques - Pour
Page 38 and 39:
Page 40 and 41:
Page 42 and 43:
La surveillance des organismes de p
Page 44 and 45:
Page 46 and 47:
Page 48 and 49:
Page 50 and 51:
Page 52 and 53:
Page 54 and 55:
Page 56 and 57:
Page 58 and 59:
Page 60 and 61:
Page 62 and 63:
Page 64 and 65:
Page 66 and 67:
Page 68 and 69:
Page 70 and 71:
Page 72 and 73:
Page 74 and 75:
Page 76 and 77:
Page 78 and 79:
Page 80 and 81:
Page 82 and 83:
Page 84 and 85:
Page 86 and 87:
Page 88 and 89:
La surveillance des fonds de pensio
Page 91 and 92:
CHAPITRE IV L a s u r v e i l l a n
Page 93 and 94:
CHAPITRE IV Au niveau de la répart
Page 95 and 96:
CHAPITRE IV Le graphique suivant mo
Page 97 and 98:
CHAPITRE IV 3.2.2. Fonds en attente
Page 99 and 100: CHAPITRE V L a s u r v e i l l a n
Page 101 and 102: CHAPITRE V Quant au champ d’appli
Page 103 and 104: CHAPITRE V Dans la pratique, pourra
Page 105 and 106: CHAPITRE V 2.3.4. Compartimentage L
Page 107 and 108: CHAPITRE V b. Emission de valeurs m
Page 109: CHAPITRE V 2.5. Surveillance pruden
Page 112 and 113: LA SURVEILLANCE DES PSF 1. L’evol
Page 114 and 115: LA SURVEILLANCE DES PSF 1.1. Evolut
Page 116 and 117: LA SURVEILLANCE DES PSF En considé
Page 118 and 119: LA SURVEILLANCE DES PSF 1.4. Evolut
Page 120 and 121: LA SURVEILLANCE DES PSF Nom du PSF
Page 122 and 123: LA SURVEILLANCE DES PSF Le Royaume-
Page 124 and 125: LA SURVEILLANCE DES PSF La CSSF eff
Page 126 and 127: LA SURVEILLANCE DES PSF 3.5. Fusion
Page 128 and 129: LA SURVEILLANCE DES MARCHES D’ACT
Page 145 and 146: CHAPITRE VIII L a s u r v e i l l a
Page 147 and 148: CHAPITRE VIII En ce qui concerne le
Page 149: CHAPITRE VIII Chacun des projets de
Page 153: CHAPITRE VIII En conséquence, le p
Page 156 and 157: Les mesures de sanction de la CSSF
Page 159 and 160: CHAPITRE X Le SecrEtariat GEnEral 1
Page 161 and 162: CHAPITRE X Par la suite, afin de me
Page 163 and 164: CHAPITRE X Il est également utile
Page 165 and 166: CHAPITRE X 2.2.3. Taux d’intérê
Page 167 and 168: CHAPITRE X confirmée par une déci
Page 169 and 170: CHAPITRE XI La Surveillance General
Page 171 and 172: CHAPITRE XI 2. La cooperation au se
Page 173 and 174: CHAPITRE XI Le groupe de travail a
Page 175 and 176: CHAPITRE XI 2.1.5. CEBS - Expert Gr
Page 177 and 178: CHAPITRE XI Finalement, CESR a envo
Page 179 and 180: CHAPITRE XI Le groupe d’experts a
Page 181 and 182: CHAPITRE XI Ainsi, en juillet 2007,
Page 183 and 184: CHAPITRE XI - la publication d’un
Page 185 and 186: CHAPITRE XI A l’instar des année
Page 187 and 188: CHAPITRE XI 2.5. Groupe de travail
Page 189 and 190: CHAPITRE XI 2.9.3. EGAOB - Sub-Grou
Page 191 and 192: CHAPITRE XI • Capital Monitoring
Page 193 and 194: CHAPITRE XI En matière de normes d
Page 195 and 196: CHAPITRE XI • Standing Committee
Page 197: CHAPITRE XI 3.5. AML/CFT Expert Gro
Page 200 and 201:
La legislation et la reglementation
Page 202 and 203:
Page 204 and 205:
Page 206 and 207:
A g e n t s e n g a g E s e n 2 0 0
Page 208 and 209:
L’organisation interne de la CSSF
Page 210 and 211:
Page 212 and 213:
Page 214 and 215:
Page 216 and 217:
Page 218 and 219:
Page 220 and 221:
ANNEXES 1. La CSSF en chiffres Surv
Page 222 and 223:
ANNEXES 3. Liste tElEphonique Commi
show all

R a p p o rt d 'a ctiv itÃ© s 2 0 0 7 Rapport d'activitÃ©s 2007 - paperJam

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?