mardi 2 Avr 2013

Banques françaises et sécurité

PHPVous avez remarqué comme moi que depuis quelques années, les banques françaises utilisent sur leur site Web un "clavier virtuel" avec des chiffres pour taper son mot de passe. Ce dispositif aussi ennuyeux qu'inutile, pose plusieurs problèmes de sécurité!

Les banques ont généralement 15 ans de retard en informatique, ce n'est pas très rassurant pour notre argent. De leur système de paiement par carte bancaire à leur site web, c'est une catastrophe niveau développement. Leurs systèmes sont bardés de sécurités obsolètes et laissent la porte ouverte aux menaces modernes!

~

1° Pourquoi le clavier virtuel est inutile?

Au départ taper son mot de passe à la souris servait à éviter que des petits programmes malicieux (sorte de virus nommés keyloggers) sur votre ordinateur n'enregistre le mot de passe tapé au clavier et ne le transmette. Évidemment, quelques jours après le premier clavier virtuel, les programmeurs de ces virus les avaient modifiés pour enregistrer aussi la souris.

Pourtant, encore maintenant 15 ans plus tard, des banques viennent d'installer toutes fières un clavier virtuel "pour la sécurité". :-|

~

2° Pourquoi le clavier virtuel est une faille de sécurité?

Un mot de passe à 6 chiffres permet 1 million de possibilités, un ordinateur peut tester ça en moins d'une seconde.
Un mot de passe à 6 caractères variés permet dans les 2 000 milliards de combinaisons, le même ordinateur mettra 625 siècles pour tout tester.
J'espère que l'argument est assez explicite! :D

Le mot de passe le plus sûr du monde est celui qui est très long et que vous ne tapez jamais. Bien sûr un bon mot de passe comporte au moins 8-9 caractères et des lettres majuscules, minuscules, des chiffres et des caractères spéciaux.
Avec le clavier virtuel, les mots de passe d'accès aux banques ne comportent que des chiffres! Le moindre compte de courrier électronique est plus complexe à forcer.

Et si ça ne suffit pas, le clavier virtuel montre votre mot de passe à vos voisins de bureau, sans parler des keyloggers. Il est souvent inutilisable pour les personnes handicapés et ennuyeux pour tout le monde.

~

Pour finir, il y a un danger encore plus grand à ne pas pouvoir enregistrer son mot de passe: il y a souvent des sites d'hameçonnage qui copient le site d'une banque pour récupérer votre mot de passe. On ne fait pas forcément attention que l'URL n'est pas la bonne, mais si les identifiants étaient enregistrés dans le navigateur, lui se rendrait compte que ce n'est pas le bon site et vous verriez immédiatement qu'il faut remplir les champs contrairement à d'habitude.

~

Alors que devrait faire les banques?

Comme les banques étrangères, comme n'importe quel site web, arriver dans le 21e siècle et utiliser les possibilités qui s'offrent à elles. Déjà évidemment permettre les mots de passe avec lettres + chiffres, puis permettre de les enregistrer.
Cela fait bien longtemps que les navigateurs permettent d'enregistrer les mots de passe. Ce n'est pas un point négatif pour la sécurité, mais un point positif. Cela permet d'avoir un mot de passe très complexe, qu'on n'a pas à retenir, ni à noter sur un bout papier, et qu'on n'a jamais à taper, c'est formidable!

Et au cas où vous n'êtes pas sur votre ordinateur personnel, taper le mot de passe au clavier avec des caractères lettres + chiffres + caractères spéciaux sera toujours 2 millions de fois plus sûr que le clavier virtuel à 10 chiffres! (cf encadré ci-dessus)

~

Presque les mêmes arguments étaient développés dans cet article Clavier virtuel et accessibilité bancaire, datant de 2005. 8 ans plus tard c'est encore pire, les sites des banques françaises sont toujours aussi moches, inaccessibles et encore moins fiables parce qu'elles n'ont pas su s'adapter aux nouvelles menaces. :-/


Dans l'article suivant, je vous montrerai comment tenter de limiter les dégâts en enregistrant les identifiants par des moyens détournés ou avec un utilitaire comme Keepass...


café Cet article vous a aidé? 
Offrez-moi un café!
Agrégateur informatique

Une réponse à “Banques françaises et sécurité”

  1. Rétrolien de Mémoriser quand même son mot de passe de banque - Logiciel - Azur Dev

Laisser un commentaire

Azur Dev