Sécurité bancaire : authentification insuffisante

Les clients des banques en ligne devraient être plus attentifs lors de leur connexion au site Internet de leur établissement, alerte l’institut Sans, un organisme américain de recherche sur la sécurité informatique, auquel participent 165,000 professionnels. C’est ce que rapporte computerworld.com, le 20 avril dernier. En effet, les précautions prises par les banquiers demeurent insuffisantes, d’après le rapport de l’institut, qui détaille leurs pratiques.

La faille de l’authenticité Des sites comme chase.com, ou americanexpress.com, par exemple, imposent de s’identifier avec un identifiant et un mot de passe. Mais, si ces informations sont cryptées dans les formulaires de saisie, rien ne prouve l’authenticité de la page sur laquelle se déroule l’opération, pointe Johannes Ullrich, responsable de recherche à l’institut. Si les clients étaient obligés de se connecter sur des pages HTTPS, un format qui utilise le protocole de cryptage SSL, Secure Socket Layer, c’est la confidentialité de la transaction qui est garantie, mais également l’authentification des pages, grâce aux certificats numériques. Adoption light du HTTPS Certaines banques, d’ailleurs, comme Capital One Bank, Citigroup., ou encore Wells Fargo & Co, ont déjà franchi le pas. Toutefois, cette solution est souvent proposée en option. Les banquiers craignent en effet que les utilisateurs ne soient pas prêts à l’adopter. La page d’accueil du site de Bank of America, par exemple, n’emploie pas cette technologie. Néanmoins, les utilisateurs sont dirigés vers une page HTTPS, dès lors qu’ils doivent saisir leur identifiant et leur code secret. Et une technologie d’authentification, sitekey, leur confirme qu’il s’agit bien du site de la banque. L’attaque lourde au DNS En effet, sans cette technologie, les pages sont à la merci d’une attaque de parodie du DNS : les pirates pervertissent le système utilisé par le navigateur pour convertir une adresse web en une adresse IP, et dirigent le client de la banque vers un site parodique. Ce type d’ attaque relève toutefois de la prouesse technique, et les pirates lui préfèrent le phishing, plus simple techniquement. L’authentification des mails C’est pourquoi les banquiers se préoccupent également de l’authentification des courriers qu’ils échangent avec leurs clients, et cherchent de nouvelles solutions. Ainsi, La Deutsche Postbank, la banque postale allemande, a décidé d’apposer un sceau informatique à tous ses courriels, relève le site de l’efma, l’association européenne de management et marketing financier ce mois-ci. En cliquant sur cette signature, les clients obtiennent la preuve de l’identité de l’expéditeur. Cette solution, de type S/MIME, est produite par TC Trust, et fonctionne avec le logiciel de messagerie Outlook.