La menace du piratage sur le rêve de l'économie numérique indienne

55

Silhouette de pirate informatique. Fond de code binaire vert

Copyright de l'image
Getty Images

Légende

Les détails de 1,2 million de cartes de débit indiennes étaient disponibles en ligne le mois dernier

Une récente cyber-attaque contre une centrale nucléaire a déclenché un débat sur la capacité du pays à se protéger dans une cyberguerre. Mais les experts disent que les Indiens devraient être plus inquiets à propos de la vulnérabilité de leurs systèmes financiers. Ayeshea Perera, de la BBC, en sait plus.

La nouvelle que la plus grande centrale nucléaire indienne – la centrale de Kudankalam dans l'État du Tamil Nadu, dans le sud du pays, avait fait l'objet d'une cyberattaque qui a fait les gros titres dans tout le pays le mois dernier.

Cela a déclenché des discussions sur le fait de savoir si le pays était "prêt pour le cyber-cyber" et beaucoup se demandaient s'il serait capable de défendre une infrastructure critique contre des attaques numériques malveillantes.

Mais il y a un problème beaucoup plus important qui affecte des millions d'Indiens – les piratages de cartes de débit et d'autres formes de fraude financière.

Le mois dernier, La banque centrale indienne a demandé aux banques d'enquêter sur un avertissement Group-IB, société de cybersécurité basée à Singapour, a indiqué que les détails des cartes de débit de 1,2 million étaient disponibles en ligne.

L'année dernière, les pirates informatiques ont pu siphonner 900 millions de roupies (12 millions de dollars) de la banque Cosmos dans la ville de Pune (ouest du pays) grâce à une attaque de logiciels malveillants contre l'un de ses fournisseurs de données.

Pourquoi l'Inde est-elle si vulnérable?

"Les systèmes financiers indiens sont extrêmement vulnérables, car nous comptons toujours sur des réseaux bancaires internationaux comme Swift pour effectuer des transactions. Les passerelles internationales sont un vecteur d’attaque ouvert pour l’Inde", a déclaré Arun Sukumar, responsable de la cyberinitiative au sein du groupe de réflexion Observer Research Foundation. la BBC.

Et un rapport de la société de cybersécurité Symantec a déclaré que l'Inde figurait parmi les trois premiers pays du monde en matière d'attaques de phishing et de programmes malveillants.

Copyright de l'image
Getty Images

Légende

On estime à 900 millions le nombre de cartes opérationnelles en Inde aujourd'hui.

Bien que cela corresponde à la taille même de la population numérique en Inde (la population de la France s’ajoute à l’Internet chaque mois), c’est un sujet de préoccupation, car de nombreux nouveaux utilisateurs d’Internet sont poussés à utiliser les paiements numériques.

En novembre 2016, par exemple, lorsque le gouvernement a soudainement retiré 80% de l'argent du pays de l'économie en disant que les billets de 1 000 et de 500 roupies ne seraient plus valables, le Premier ministre Narendra Modi a fortement encouragé les paiements numériques en tant qu'alternative.

Les plateformes de paiement – tant autochtones (Paytm) qu'internationales (Google) – sont devenues depuis une industrie massive en Inde. Un rapport de Credit-Suisse a estimé que les paiements mobiles en Inde deviendraient un marché d'un million de dollars d'ici 2023. Les paiements par carte de crédit et de débit sont également populaires, avec environ 900 millions de cartes opérationnelles en Inde aujourd'hui.

"La plupart des nouveaux venus sur Internet en Inde – plus de 300 millions d'entre eux – appartiennent au centre ou au bas de la pyramide. Cela signifie que très souvent, leurs connaissances numériques sont faibles ou qu'ils sont des travailleurs migrants travaillant dans des États où ils sont Ils sont donc très vulnérables à la fraude ", a déclaré à la BBC, expert en technologie, Prasanto Roy.

"Et deuxièmement, très peu de cas de fraude par les banques sont signalés, ce qui signifie que les consommateurs ne sont parfois même pas au courant de ce qui s'est passé."

Quel genre de fraude se produit?

La fraude financière en Inde prend de nombreuses formes différentes. Certaines impliquent des pirates informatiques qui réparent des skimmers et des caméras à clavier sur des distributeurs automatiques de billets, ce qui duplique les détails de la carte des utilisateurs non avertis. D'autres impliquent d'appeler les gens et de les inciter à donner des informations.

Copyright de l'image
Getty Images

Légende

Un manque de standardisation des guichets automatiques est source de confusion pour les utilisateurs novices

"Le problème est que, dans une transaction numérique, les lignes sont floues et confuses. Dans le monde réel, il existe une distinction claire entre un donneur et un preneur. Mais sur une plate-forme de paiement mobile, cela n'est pas toujours clair. Par exemple, vendre une table en ligne peut être appelé par une personne qui se présente comme un acheteur potentiel et qui propose de faire un paiement en ligne ", a expliqué M. Roy.

"Si cette personne dit qu’elle a effectué un paiement et vous dit que vous obtiendrez un code par SMS pour confirmer la transaction, de nombreux utilisateurs n’y penseront pas, même s’ils sont invités à lui donner le code. La prochaine chose qu'ils savent, c'est que l'argent a été déduit de leur compte. "

Quelles améliorations peuvent être apportées?

Un problème est que les systèmes eux-mêmes ne sont pas suffisamment sécurisés ou transparents. Dans le cas de la fraude Cosmos, par exemple, le logiciel n’a pas été en mesure de générer des incohérences de modèle lorsque de nombreuses transactions ont été compromises. Et au moment où la fraude a été découverte, une énorme somme d’argent avait été perdue.

En outre, l'absence de normalisation rend les transactions confuses, en particulier pour les nouveaux utilisateurs. Les guichets automatiques, par exemple, se présentent sous différentes formes et chaque application de paiement du pays a une interface différente.

Deuxièmement, M. Sukumar fait remarquer qu'il existe également un problème humain. Les gens manquent même de conscience élémentaire des dangers, ce qui les laisse eux-mêmes et parfois des systèmes entiers en danger.

Copyright de l'image
Getty Images

Légende

Le marché indien des paiements mobiles a connu une croissance exponentielle

"Les humains derrière les claviers doivent également faire très attention. Le virus qui a affecté la centrale nucléaire de Kudankulam a apparemment été introduit par un membre du personnel qui a branché une clé USB sur l'un des ordinateurs présents, ce qui a ensuite compromis l'ensemble de la centrale. comme le personnel de la banque ou d’autres institutions financières ", at-il déclaré.

Quel est le rôle du gouvernement?

M. Roy a déclaré qu'il incombait au gouvernement et aux institutions d'assurer la sécurité des transactions financières, et non l'utilisateur final.

"Compte tenu du taux de croissance de l'Internet en Inde, il n'est pas possible de compter uniquement sur l'éducation. Il n'est pas possible pour tout le monde de suivre les méthodes sophistiquées des pirates informatiques, en particulier lorsqu'ils changent constamment de tactique et de méthodes. être sur les régulateurs pour protéger les utilisateurs ", at-il dit.

L’autre problème est que la communication entre les différentes organisations de cybersécurité n’est tout simplement pas assez rapide.

Les équipes d'intervention en cas d'urgence informatique (Computer Emergency Response Team), qui sont les défenseurs de première ligne de l'infrastructure numérique indienne, mettent parfois trop de temps à communiquer les menaces au gouvernement.

Mais l'Inde est déjà consciente de cela. Le pays élabore actuellement une politique nationale de cybersécurité pour 2020 et a identifié six domaines critiques dans lesquels les politiques doivent être clairement définies. La sécurité financière est l'un de ces domaines.

Dans l’idéal, dit M. Roy, il devrait exister un Cert pour tous les principaux domaines du pays, qui communiquent entre eux, le gouvernement agissant en tant que coordinateur.

Ce n’est qu’alors que l’Inde sera en mesure de réagir efficacement aux risques liés à la transition vers une économie sans numéraire.