La sécurité des sites bancaires
Le jeudi, 18 février 2010. - nederlandjes
Gérer son compte sur internet est intéressant parce que c'est pratique pour les usagers et moins coûteux pour les banques qui limitent ainsi les opérations de caisse. Ce peut être aussi juteux pour les escrocs qui utilisent des systèmes toujours plus ingénieux pour récupérer les données des usagers, leur mot de passe et en fin de compte leur argent. Les banques doivent protéger leurs clients et offrir un des services hautement sécurisés. Encore une fois les Pays-Bas font différemment de la France. Voyons donc en quoi le système néerlandais est supérieur.
En France
En France, la plupart des sites de gestion bancaire n'offrent pas l'ensemble des services bancaires pour des raisons de sécurité. La plupart des sites proposent aux clients de se connecter avec un couple numéro de compte/mot de passe. Le gros de la sécurité repose sur l'utilisateur et ce qu'il fait de son mot de passe (comme souvent). Ne pas noter ou divulguer son code est quelque chose d'évident que les banques rappellent régulièrement à leurs clients. Les clients peuvent respecter cette recommandation (ou pas).
L'autre danger est l'ordinateur du client. Il n'est pas toujours à l'abri de virus ou chevaux de Troie capables de récupérer les mots de passe tapés par l'utilisateur. Les banques essayent de s'en prémunir en mettant en place des systèmes d'accès n'utilisant pas le clavier, façon digicode pour la Banque Postale ou sudoku pour le Crédit Agricole. Ce système n'est pas à l'abri de systèmes d'espionnage perfectionnés capable de reproduire à distance ce qui est affiché à l'écran.
Conscient des vulnérabilité du système, les banques françaises limitent les services offerts en ligne de sorte qu'il soit impossible de vider d'un coup le contenu d'un compte. C'est encore la meilleur protection.
Aux Pays-Bas
L'approche néerlandaise est différente. Les clients sont habitués à faire des virements électroniques à quiconque avec leur carte et veulent pouvoir le faire aussi en ligne. Il n'est donc pas question de limiter les services offert en ligne, les banques des Pays-Bas ont donc décidé de limiter la durée de vie des mots de passe. Si ce dernier est volé, ce n'est pas bien grave puisqu'il ne peut pas resservir. Pour pouvoir donner les mots de passe différent à chaque session, les banques mettent à disposition de leurs clients un petit appareil capable de lire et valider leur carte bancaire (La Rabobank l'appelle le random reader).
Le fonctionnement du système est simple : Le site vous demande de vous connecter en entrant votre numéro de compte, le lecteur de carte lis votre carte bancaire et vous demande votre pin (le code secret de la carte). En retour il donne un numéro à huit chiffre qui est unique et calculé en fonction du numéro de compte, de la date et de l'heure. Il ne peut pas fonctionner avec un autre compte ou à un autre moment. Lorsque le client demande un transfert d'argent sur son site de banque en ligne, il doit renouveler l'opération. La sécurité est d'ailleurs renforcée car en plus de la carte, l'appareil peut demander un code supplémentaire, numéro fournit par le site web au moment de la validation de la transaction et qui rend encore plus improbable la découverte du code à priori. Certaines banques comme ABN AMRO fournissent d'ailleurs ce code supplémentaire dès la phase de connexion.
Évidement, le système n'est pas infaillible, il repose sur la carte bancaire qui a ses faiblesses, la carte peut être copiée et le pin peut être volé mais les clients sont déjà au courant des dangers regardant leur carte. Je n'ai encore pas entendu parler de personne ayant réussi à trouver l'algorithme de ces petits boîtiers. J'ose espérer que les clients jouant avec leur compte pour découvrir cet algorithme seront détectés par les systèmes de la banque.
Le cas ING
Les anciens clients de Postbank, comme moi, continuent d'utiliser un système personnalisé sans boîtier externe. Les clients ING utilisent un mot de passe comme en France mais ils doivent valider chaque transaction avec un code (le TAN code), reçu par SMS sur leur téléphone portable. Ce système évite la lourdeur de devoir disposer d'un nouvel objet mais il est plus long à mettre en place puisque le mot de passe est envoyé par courrier séparé et qu'un changement de téléphone portable oblige à recommencer la procédure. Toutes les autres banques néerlandaises utilisent le système de boîtier externe. Chez SNS, les clients utilisent un Digipass qui lui aussi génère un mot de passe unique, mais l'appareil a une forme différente si bien que je ne sais pas vraiment comment ça marche.
Lire aussi :
France / Pays bas: Comparatif des services bancaires
Le nouveau Rabo Scanner
Une banque qui demande moins de sous
La fin du porte monnaie électronique
Aventures à la carte bancaire
Attention, emprunter de l'argent coûte de l'argent
Changement de banque: Rabobank
Choisir une banque
Commentaires
le samedi, 20 février 2010.
un petit post sur les arnaques ça peut être intéressant ^^ en tout cas merci pour ton article, qui m'a bcp appris!
bisous
le dimanche, 21 février 2010.
je reprends notre echange sur FB:
bien sur , il a des enregistreurs de clavier qui enregistre aussi ce qui se passe a l ecran . Ensuite enregistrer aussi vite que tape l utilisateur sur un clavier dont les chiffres bougent et dont la fenetre est affichée tout le temps a des endroits differents.... il faudrait voir avec un enregistreur de trame a ce moment la ...
Enregistrer les trames, c est du domaine de ethereal ou/et wireshark le font en partie .... ensuite il y a des librairies c, avec toutes les fonctions necessaires pour la lecture des trames reseaux ... ;)
par contre , il faut savoir quoi chercher , mais ca doit etre faisable .
Je ne sais pas si les trames qui partent sont securisées, mais en veillant les sites lus par un particulier on doit pouvoir detecter lesquels correspondent a des banques pour capter les trames pendant un instant, compresser et transmettre au pirate.
Je ne vois pas non plus que tu parles du phishing ou des fakesites... parce que la c est pas mal aussi , et plus facile a faire (enfin le faux site ) apres faire du detournement c est autre chose, mais qui n a pas deja recu un email de sa banque , disant qu il y avait un probleme sur son compte et de cliquer sur le lien inclus dans le mail.
Lien qui ressemble enormement a un lien de banque , mais qui n en est pas un ....
le dimanche, 21 février 2010.
Ton enregistreur de trame, il enregistre les mouvement de l'écran et peut reconstituer ce qui apparait à l'écran c'est bien ça? Si c'est ça, je pense que c'est le seul moyen pour les sites de la banque postale, crédit agricole et autres qui ont un système ou le cote est entré à la souris. Si tu parles de sniffer les flux au départ du site, c'est clair que pour le pirate, c'est mort parce que les données sont chiffrées assez fortement. Donc pour le moment ce n'est pas un moyen de casser l'accès à un compte.
De toutes façons, il me semble que le gros des escroqueries sont dues à des négligences de la part des usagers des banques. Ce n'est pas forcément la faute des usagers d'ailleurs, les banques se gardant bien de parler des risques de l'électronique et de l'informatique bancaire, afin je ne pas véhiculer une mauvaise image...
Pour ce qui est du phishing (ne dit-on pas hameçonnage ?), je n'ai pas encore reçu d'email de ce genre avec une banque néerlandaise. Peut-être est-ce parce que les mots de passe sont provisoires. Un mot de passe provisoire, c'est inutile pour un pirate Quel est son intérêt de le collecter ?
le lundi, 22 février 2010.
chiffrer assez fortement c est quoi???
parce que le probleme , c est que les "pirates" ont changés, on est passé de gens revant d exploits, a des gens qui font partie d organisation dont le but est de prendre l argent .... pas autre chose , pas juste revele les failles, comme l avait un francais il y a quelques années en montrant comment trouver le code secret depuis le code de la carte bleue .
La négligence des utilisateurs , d accord mais un achat sans code secret il me semble est considéré comme frauduleux des que tu le contestes... a voir dans le code des banques , mais c est ce que j ai toujours entendu dans tous les reportages sur ce point la .
Le code de carte peut aussi etre provisoire, c est ce que fait la caisse d epargne il me semble,
le code est delivré a la demande de son client, pour un montant donné.
idem pour les codes de securité.
pour l hameconnage, c est souvent que j en recois... souvent l orthographe et la grammaire engendre une premiere alerte... m enfin maintenant on ne sait plus ...
le lundi, 22 février 2010.
Hello thorfenn,
Si tu as reçu des mail d'hameçonage en néerlandais, je suis interessé, tu peux me les envoyer?
Chiffrer assez fortement c'est utiliser une clef de chiffrement qui nécéssite plusieurs années de décodage (comme la clef RC5-64 qui a demandé 4 ans à un réseau d'ordinateurs mondial pour être cassé). Le pirate (ou l'organisation de pirates) préfèrera une méthode plus rapide utilisant la ruse ou s'attaquera à une cible plus facile.
La Caisse d'Épargne utilise-t-elle des mots de passes provisoires pour permettrent aux clients de gérer leur compte sur Internet.