Free cookie consent management tool by TermsFeed

mardi 8 mars 2011

Faisons un point sur la sécurité de la banque en ligne

Sécurité de la banque en ligne
Avec la multiplication des menaces pesant sur les services en ligne (logiciels malveillants, attaques de phishing...), les banques sont contraintes de faire évoluer les mesures de protection qu'elle mettent en oeuvre pour garantir la sécurité des comptes de leurs clients. Finis les simples codes d'accès, composés d'un identifiant et d'un mot de passe, de nouveaux moyens d'authentification (forte) font désormais leur entrée dans la banque en ligne. L'actualité récente semble démontrer une progression des pratiques dans ce domaine.

En France, ce sont les systèmes de génération de code à usage unique (OTP, "One Time Password") envoyé par SMS qui ont la faveur de la plupart des banques. Depuis quelques jours, le Crédit du Nord et Axa Banque ont ainsi mis en place ce mécanisme pour la confirmation des opérations sensibles (notamment l'ajout de nouveaux bénéficiaires de virement).

De l'autre côté de la Manche, la préférence va à la distribution d'appareils dédiés pour la génération des OTP. Dans les cas de Barclays, RBS ou NationWide (entre autres), le dispositif prend la forme d'un lecteur de carte, produisant un code après introduction de la carte bancaire et saisie de son code PIN. HSBC va, pour sa part, commencer à distribuer un petit générateur autonome de la taille d'une carte de crédit (qui requiert son propre code PIN), baptisé HSBC Secure Key.

L'inconvénient de ces approches par OTP, outre leur coût non négligeable, est qu'elles ne garantissent pas une sécurité absolue. Elles peuvent rester sensibles, en particulier, à des attaques menées par des logiciels malveillants installés sur le poste de l'utilisateur ("OddJob", dont la découverte a récemment été révélée, pourrait constituer un cas exemplaire). Il s'agit d'une des raisons pour lesquelles d'autres solutions émergent progressivement.

Metro Bank, la "nouvelle" banque britannique, a ainsi choisi le logiciel "Rapport" de Trusteer, qui fonctionne en "verrouillant" le navigateur de l'utilisateur dès que celui-ci initialise une connexion au site de banque en ligne (et aussi en établissant un canal de communication direct et sécurisé avec les serveurs de la banque). L'objectif est ici de prévenir toute action d'un tiers (logiciel ou site web) pendant la session et dans les échanges.

D'autres solutions poussent cette logique encore un peu plus loin. La société suisse CreaLogix (comme quelques autres fournisseurs) propose ainsi une clé USB (protégée) embarquant un navigateur web "durci" et non modifiable, dédié à la connexion aux sites "sensibles" (de banque ou de commerce en ligne). Selon Avivah Litan (Gartner), la première banque privée au monde (qui devrait être UBS Wealth Management) s'apprêterait à déployer ce système auprès de ses clients.

Il est heureux de voir les banques se préoccuper de la sécurisation de leurs services en ligne (même si les menaces évoluent encore plus rapidement). Cependant, toutes ces solutions souffrent de défauts plus ou moins criants, dont le principal est la perte de simplicité. Avoir toujours sur soit un générateur d'OTP ou une clé USB, ne pouvoir utiliser qu'un PC sur lequel un logiciel spécifique a été installé ou devoir attendre la réception (parfois hypothétique) d'un SMS pour réaliser une opération sont autant de contraintes qui vont limiter l'attrait de la banque sur Internet... Et le problème va devenir encore plus sensible à l'heure où les services mobiles se développent, car toutes ces solutions sont inadaptées à l'utilisation sur un téléphone (ce qui rejoint les conclusions d'un précédent article). Il n'existe malheureusement pas encore de solution idéale...

5 commentaires:

  1. Très bon article : ajoutons à cette liste aussi l'utilisation du certificat électronique (par exemple sur le site du LCL)

    RépondreSupprimer
  2. Pour autant que je puisse en juger, le dispositif de sécurité de LCL est un composant logiciel, qui cumule les inconvénients. Il n'est pas exemple compatible qu'avec Internet Explorer, ce qui exclut d'emblée près de la moitié des internautes...

    RépondreSupprimer
  3. HSBC Secure Key non disponible sur android...
    vu les analyses sur cette sécurité...
    je refuse d'utiliser HSBC Secure Key.
    et de changer de banque. HSBC nest plus fiable.

    RépondreSupprimer
  4. Ce qu'il ne faut surtout pas perdre de vue c'est la véritable motivation de HSBC: améliorer la sécurité ... mais pas la nôtre, la leur.
    En effet la solution proposée ne parait pas particulièrement sûre mais la vraie sécurité réside dans les conditions d'utilisation qu'ils nous font approuver.
    Jusqu'à présent, toute opération frauduleuse était à leur charge (en tous cas ils supportaient la charge de la preuve). Ces conditions nous font approuver sans réserve que toute opération NE PEUT ETRE effectuée QUE PAR NOUS. Ils ne sont plus responsables de rien, et tant pis pour nous si leur système contient des failles de sécurité ( ce serait bien le premier à en être exempt).

    J'attends avec impatience la jurisprudence !

    RépondreSupprimer
    Réponses
    1. Tout a fait d'accord avec le message du 23 aout 2013.
      Le législateur n'encadre pas les modalités de mise à jour des conditions générales de vente - CGV - appliquées aux particuliers.
      La notion de CGV entre PROFESSIONNELS est encadrée par le code du commerce (L441-6, Article L442-6 alinea 4, voir DGCCRF)
      Les "CGV" du consommateur sont de l'ordre du contrat -de vente de service -
      Pour HSBC secure Key:
      La notion de service "obligatoire" et indirectement de CGV non refusable, pourrait s'assimiler à une logique de vente "forcée" d'un service équivalent au précédent (de la banque en ligne dont nulle banque ne peut se passer a ce jour) sans considération de l'ergonomie pour le client. j'attends aussi la jurisprudence ...

      Concernant le service HSBC, secure key ne se base que sur un générateur de nombre aléatoire de intel, généré de façon externe par un smartphone ou un boitier ce qui conduit à générer deux transactions, asynchrones, avec un niveau de sécurité moyen.
      Le banquier pense que multiplier les sécurités diminue le risque mais le hacker trouve que ça multiplie ses opportunités, et en terme de sécurité les informaticiens sont plus performants que les banquiers, ce qui n'est pas le cas sur le versant commercial.

      En terme de sécurité, le problème se résout par des transactions le ssl et les certificats à clé asymétriques. C'est le niveau de sécurité des cartes à puces, du dossier médical partagé ....

      De plus, le précedent code de vérification par sms était d'un niveau de sécurité équivalent, et il n'y avait pas besoin de smartphone pour lire son SMS - ma mere à 80 ans avec son telephone senior grosse touches arrive a lire un sms signalé, mais reste étanche à la navigation sous android. & J'imagine mal un malvoyant se passer de son écran 21pouces aux polices adaptées ...


      Donc, après avoir stabilisé sa trésorerie sur le dos des petits, HSBC persiste dans sa stratégie clients pro, et comme toutes les banques & de nb services commerciaux se désengage des responsabilités contentieuses.
      Le petit lait des petites vaches traites à l'envie devrait finir par tarrir ou cailler.
      Pour ma part j'envisage clairement de quitter cette banque ou 3 générations leur compte.

      Supprimer

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)