Les banques sont souvent perçues comme des chambres fortes inviolables, et étant donné la criticité du secteur, ses clients s’attendent à ce qu’elles le soient. Mais qu’en est-il en pratique ? Il s’avère qu’en réalité, ce monde n’a que peu évolué depuis son passage à Internet… Les espaces « sécurisés » en ligne demandent généralement à l’utilisateur d’utiliser un clavier virtuel pour saisir son mot de passe à la souris sur un clavier dont la position des chiffres change à chaque connexion. Les banques espèrent ainsi que si l’ordinateur est infecté par un logiciel malveillant, le clavier virtuel empêche de lire le code secret. En pratique, c’est dorénavant le collègue de bureau ou l’enfant, attaquants bien plus probables qu’un malware, qui peut noter sur l’écran la composition de votre code… D’autant plus que les malwares, eux, ont suivi l’évolution des techniques de protection des banques et ne sont guère plus gênés par un clavier virtuel.
Des mots de passe dignes des années 1970
La sécurité minimale d’un mot de passe donnée par
Les banques justifient ce choix par le fait qu’après quelques tentatives, le compte est verrouillé. Il empêcherait donc un attaquant de s’infiltrer. Mais cette protection n’existe pas si la base de données de la banque finit dans la nature à la suite d’une fuite de données ou d’un piratage, comme c’est malheureusement aujourd’hui la norme. L’attaquant aura tout loisir de casser le mot de passe sans cette limitation pour ensuite se connecter en une seule tentative sur l’espace sécurisé…
Pour garantir la sécurité de leurs clients, les banques devraient imposer des mots de passe robustes et autoriser en tout cas l’usage d’un gestionnaire de mots de passe pour leurs clients qui le souhaitent réellement. Elles mettraient aussi en œuvre la double authentification, comme a pu le faire le Crédit Coopératif avec son boîtier Sésame (malheureusement abandonné depuis), ou avec des solutions basées sur un téléphone mobile ou une clef USB.
Un suivi de l’état de l’art inexistant
Alors qu’il existe des solutions accessibles à tous pour protéger son courrier électronique et s’assurer que seul le destinataire véritable aura accès au contenu, les banques préfèrent souvent communiquer par des mails avec un avertissement « En cas de mauvaise distribution, merci de ne rien lire et de détruire ce message », et mettent le contenu réel du message sur l’espace messagerie « sécurisé » (souvent inaccessible ou en maintenance).
Par exemple, l’usage de
Les banques ne sont pas les seules responsables
L’état problématique de la sécurité des banques n’est pas à mettre à leur seul crédit, mais aussi indirectement à celui de leurs clients. La résistance au changement est en effet extrêmement forte dans le domaine de la sécurité. Les intérêts à court terme sont difficiles à percevoir (risques incertains et nébuleux, « rien à cacher »…) alors que les inconvénients, eux, sont immédiatement visibles (nécessité d’un gestionnaire de mots de passe ou d’un périphérique d’authentification, difficulté de connexion en situation de mobilité…). Et de manière générale, l’utilisateur final n’est que peu informé, le sujet étant technique et l’état de l’art très mouvant. Les banques n’ont finalement fait que suivre le mouvement, se limitant à une sensibilisation simpliste (vérifier la présence d’un cadenas et d’une barre verte dans la fenêtre du navigateur) et dans l’impossibilité de suivre les préconisations techniques sans accompagnement des utilisateurs qui risquent d’être récalcitrants (mise à jour des navigateurs, support)…
