Banque en ligne et sécurité: peut mieux faire !

Les services de banque en ligne se sont considérablement développés. Ils constituent aujourd’hui l’un des premiers motifs de navigation pour les internautes. Ces sites permettent désormais aux particuliers de consulter leurs comptes bancaires, effectuer des virements, commander des chéquiers, simuler des propositions de crédit, etc.

Cette manière d’envisager la relation bancaire suscite de nouvelles interrogations de la part des internautes sur la protection de leurs données personnelles, en particulier s’agissant de la sécurité des données bancaires. Mais malgré le bilan assez positif de cet audit, des choses sont à revoir et certaines recommandations peuvent être formulées aux établissements bancaires et aux internautes eux-mêmes. Au cours du premier semestre 2005, la CNIL a réalisé un audit des services de banque en ligne, auprès de dix établissements bancaires sur la base d’un questionnaire type. Résultat, sur les 10 sites contrôlés, la Commission considère que 7 sites (seulement!) respectent la confidentialité et la sécurité des données. Quatre sites de banques en ligne ne sont même pas en transaction sécurisée « https » lors de l’échange des identifiant et mot de passe, la bascule en mode sécurisé ne se faisant qu’après l’envoi de ces informations en clair sur le net. Inquiétant. Par ailleurs, des améliorations permettraient dans certains cas d’augmenter de manière substantielle les garanties de sécurité et de confidentialité existantes, notamment l’authentification forte, système qui permet de contourner le risque de vol de données.. Les résultats de l’audit des établissements bancaires -Aucune authentification forte et incontestable des clients internautes n’est mise en ?uvre, par exemple par carte à puce ou clé électronique unique. Seuls les identifiants et mots de passe ouvrent les portes des banques en ligne. -La moitié seulement des sites effectuent une mise en garde concernant la question de la sécurité préalablement à la première connexion et disposent d’une aide en ligne permanente. -Le mot de passe est rarement remis sous pli confidentiel ou envoyé en recommandé avec accusé de réception lorsqu’il est transmis par courrier postal. Il est souvent inférieur à 7 caractères alphanumériques et sa durée de validité est illimitée. -Quatre sites de banques en ligne ne sont pas en transaction sécurisée « https » lors de l’échange des identifiant et mot de passe, la bascule en mode sécurisé ne se faisant qu’après l’envoi de ces informations en clair sur le net. -Peu de sites permettent la consultation d’un historique des dernières connexions ou la réception d’un accusé de réception des opérations effectuées. Enfin, la quasi-totalité des sites n’offre pas la possibilité aux internautes : -De tester leur poste de travail (test du système d’exploitation, du navigateur, des cookies, etc.), -D’être informés des mises à jour régulières des règles de sécurité à suivre. Les recommandations de la CNIL aux utilisateurs des services de banque en ligne

-Assurez-vous de la sécurité de votre ordinateur (mises à jour récentes de votre système d’exploitation, installation d’un logiciel anti-virus et d’un logiciel pare-feu – firewall). -Attention également aux « spywares » (espiogiciel ou encore mouchard). -Accédez à votre site de banque de manière sécurisée et vérifiez l’orthographe de l’adresse . -Contrôlez la date et l’heure de votre dernière connexion ainsi que la durée. Vous serez ainsi aussitôt avisé d’une connexion effectuée à votre insu. -Vérifiez que la connexion est sécurisée. -Terminez obligatoirement votre connexion à votre site bancaire en utilisant le bouton « déconnexion ». -Ne cliquez jamais sur un lien dans un courriel reçu pour accéder à votre site de banque en ligne (« phishing »). -Réservez vos accès banque en ligne à votre domicile à l’exclusion de tout autre lieu.