Test-Achats

Le: 19/09/2009 12:10

Votre dossier répercute une information partiellement incomplète. En effet il est omis de dire que depuis décembre 2008 et ce perdurant sur les premiers mois de 2009, plusieurs banques se font fait hackées pour plusieurs dizaines de compte et plusieurs centaines de milliers d'euros, bien que ces banques utilisaient le système de "calculette " que vous préconisez (cf articles de presse, notamment la presse specialisee IT).

On prétend que l'usage de ce système est sécurisé (cf votre article test achat) alors qu'il n'évite pas l'attaque consistant à intercepter les codes qui sont entrés au clavier de l'ordinateur, soit par virus/spyware, soit par fausse page web qui se fait passée pour la vraie page du site bancaire. En réalité ce système de calculette n'était pas utilisé correctement par les banques (et pour bon nnombre d'entres elles ne l'est toujours pas) car il ne demandait pas les données essentielles à sécuriser : compte bénéficiaire d'un virement. Seulement depuis quelques semaines/mois, quelques banques modifient leur approche en demandant de pré-encoder les comptes bénéficiaires à l'avance.
Résultat des courses : on inflige au consommateur un système absolument inutilisable (dix milles chiffres et codes a taper et a retaper de multiples fois pour faire un simple virement) et non convivial. Ce qui est détestable est que le client n'a pas le choix puisqu'on lui fait payer toute transaction qui ne serait pas faite en "internet banking" et qui serait faite au guichet. On pénalise financièrement le client en le poussant a l'internet banking mais par ailleurs on impose un système internet banking non parfaitement sécurisé et non convivial. Vive l'arrogance des banques.

Pourtant en belgique nous avons l'arme ultime et simple d'usage : la carte d'identité électronique (plutôt que le système de calculette). L'avantage de l'eID est que même si un virus/spyware "interceptait" le code PIN de la carte lorsqu'il est tapé au clavier, et bien le hacker ne disposerait toujours pas de la carte physique qui est nécessairement présente dans le lecteur de carte pour faire l'opération.
Malheureusement il existe une idéologie bancaire anti-eID qui perdure depuis quelques années. Illogique et incompréhensible alors que cela simplifierait grandement la vie des gens dans des opérations en ligne et que d'autre part cela serait 100% convivial d'usage (et moins cher pour les banques).

Le: 19/09/2009 14:58

bonjour,
il est vrai que la carte electronique d'identité est une solution mais cela comporte aussi des frais supplémentaires (lecteur spécifique) . de plus le programme doit etre sur l'ordinateur ce qui prevoit de fonctionner avec un seul ordi. de plus il ne manque pas d'étrangers qui ne pourrait utiliser le systeme . on voit donc qu'il n'y a de systeme sans problème

Le: 24/09/2009 11:02

Une réaction basée sur l'expérience "interne" de la problématique, travaillant dans le domaine de la sécurité pour de nombreuses banques.

La problématique abordée ici est en réalité double.

1. Les calculettes augmentent le niveau d'authentification par rapport à un simple mot de passe, c'est indéniable. La nouvelle génération, poussée par le constructeur, permet de signer les transactions et est censée protéger complètement l'utilisateur contre toute attaque (autre que sur son PC). Ceci augmente bien sûr encore le niveau de sécurité, au détriment de la convivialité, mais, comme j'ai déjà eu l'occasion de le démontrer à de nombreux client du monde bancaire, cela ne protège pas complètement contre ces attaques (appelées "man in the middle").

2. L'authentification de l'utilisateur est une chose, mais si l'application est mal développée (ou plutôt développée sans connaître les protections adéquates à prendre) il y a moyen de contourner totalement l'authentification et toute signature des transactions. Il y a même moyen de prendre totalement le contrôle de l'application et de sortir du cadre de l'utilisation normale, ce qui est encore plus grave pour la banque, puisqu'il ne s'agit plus d'une fraude sur UN compte, mais potentiellement sur tous ou sur ses fonds propres.
Cette partie-ci est en général beaucoup plus difficile à juger de l'extérieur, bien qu'un simple coup d'oeil habitué à beaucoup de sites permet immédiatement de détecter des trous de sécurité (attention, j'ai bien dit un coup d'oeil, pas une tentative d'intrusion, ceci est illégal et les banques poursuivent systématiquement les petits malins qui s'y aventurent).

Quelles sont les conclusions ?

1. Il est dommage de se limiter uniquement à une solution portable, mais très rebutante pour l'utilisateur qui n'est pas totalement sécurisée, alors qu'il existe une solution totalement sécurisée et "user-friendly", qui n'est certes pas totalement portable. C'est ce qu'on appelle jeter le bébé avec l'eau du bain. En réalité, une combinaison des deux (ensemble ou alternativement) serait l'approche la plus sécurisée, la plus ergonomique, mais aussi la meilleure marché (coûts de gestion).

2. Au delà de ces aspects, importants, d'authentification, il faut faire confiance à votre banque sur la qualité de son développement. Peut-être que cela deviendra un jour un critère de sélection d'une banque, la confiance en la sécurité de son application qui gère votre compte. Au vu du nombre de banques se faisant pirater par ces applications, et le peu d'intérêt que présentent certaines pour cette problématique, je pense que ce n'est pas encore le cas aujourd'hui...

Marc Stern -- http://www.approach.be/security