E-Banking : les défauts de design facilitent le piratage

Par 01 août 2008 1 commentaire

Les institutions financières proposent des services ultra-sécurisés pour permettre aux clients de réaliser leurs opérations en ligne. Seul problème : des défauts dans la structure de leurs sites annulent ces efforts.

Plus des trois quarts des sites de banques américaines comportent des défauts de design qui facilitent pour les pirates le vol de liquidités ou de données confidentielles sur les clients. Au deuxième trimestre 2007, près de 16 millions de dollars auraient ainsi été perdus après une intrusion informatique liée à une faille dans la sécurité des sites bancaires. Les chiffres sont fournis par l'université du Michigan, qui a examiné les sites de plus de deux cents institutions financières en 2006. "A notre grande surprise, les défauts de design qui pourraient compromettre la sécurité sont nombreux et présents même chez les plus grandes banques du pays", déplore Atul Prakash, professeur à l'université et responsable de l'étude. "Du coup, il devient difficile pour les consommateurs de prendre les bonnes décisions en matière de sécurité quand ils réalisent des opérations d'e-banking".
Des défauts structurels
Et le problème, c'est que ces différents défauts ne sont pas de simples bugs qu'il est possible de corriger via des patchs. Ils proviennent du flux et de l'agencement même du site. Un peu moins de la moitié des plates-formes passées au crible placeraient ainsi des boîtes d'identification sur des pages non-sécurisées. Ce qui permet à un pirate d'intercepter les codes clients, voire de créer une imitation de la page web afin d'arnaquer les clients qui y réaliseront des transactions en croyant être sur le site de leur banque. Autres vulnérabilités : la distribution d'identifiants et de mots de passe inadéquats, c'est-à-dire trop simples à retenir et donc à être décryptés par les cyber-criminels, ou l'envoi d'e-mails non-sécurisés contenant des informations confidentielles. Un tiers des banques agirait ainsi.
Ne plus faire circuler de l'information confidentielle
Plusieurs méthodes permettraient de réduire les risques de piratage. Parmi elles, l'utilisation du standard "secure socket layer" (SSL) sur les pages qui contiennent de l'information sensible permettrait de verrouiller ces dernières. Or pour le moment, les pages sécurisées de cette manière sont peu nombreuses. Autre solution : la mise en place de passwords plus difficiles à détecter, ou la généralisation de l'envoi de notifications par mail, qui ne contiennent pas d'informations privées mais qui invitent le client à se connecter sur le site de sa banque pour avoir accès à ces dernières. Reste que, si le responsable de l'étude souligne que quelques banques, depuis la parution de l'enquête, ont apporté des correctifs, les améliorations à apporter restent nombreuses.

Haut de page

1 Commentaire

Bonjour,
Il convient tout de même de préciser que cette étude est "américo-américaine" : la quasi totalité des banques françaises ont effectué de nombreux efforts dans ce domaine. Le sujet de la sécurité devient même souvent un frein au développement de services en ligne innovants, car les impacts sur la sécurité sont encore mal évalués. Je pense par exemple à l'apport d'Ajax dans les interfaces riches, ou aux modules de type wedgets.

Soumis par Julien Fursat (non vérifié) - le 03 août 2008 à 07h36

Mentions légales © L’Atelier BNP Paribas