Actualités

Face aux pirates, les banques cherchent la parade

En mai prochain, le Crédit agricole attribuera à ses clients professionnels un CD-Rom pour l'accès à ses services Web. L'établissement britannique Barclays a choisi, lui, un système de carte à puce.

Karine Solovieff

01net.

le 20/04/07 à 18h43

3 réactions

Les sites Internet des banques comptent évidemment parmi les premières cibles des pirates. Chacune d'entre elles cherche donc la parade au phishing et aux malwares, tels que les chevaux de Troie ou les virus. Et, pour être efficace, il s'agit de faire preuve d'imagination. Deux banques s'apprêtent ainsi à tester des solutions originales pour mieux protéger leurs clients. Point commun : ne plus demander à l'internaute ses identifiants dans le navigateur mais recourir à un dispositif extérieur.

En mai prochain, le Crédit agricole proposera ainsi à ses clients professionnels (entreprises, commerçants, etc.) la carte Tooal (prononcez toile), qui n'est autre qu'un CD-Rom, sous la forme d'une carte bancaire, doté d'un logiciel d'authentification crypté. Ainsi, lorsqu'un client de la banque veut accéder à son compte en ligne, il insère le CD-Rom dans son lecteur. Puis, un menu apparaît lui demandant de saisir son mot de passe sur un clavier virtuel, opération vérifiée par la carte Tooal. Il est ensuite automatiquement connecté à ses comptes bancaires.

Ce système a été développé par une jeune entreprise française, Mediscs, installée à Montpellier. Le Crédit agricole ne donne pas de précision pour le moment sur une possible mise à disposition pour ses clients grand public.

' Ne pas utiliser le même système que les autres '

La banque britannique Barclays a choisi, elle, une identification alliant une carte bancaire à puce à un lecteur. Outre-Manche, 500 000 de ses clients devraient recevoir leur lecteur d'ici à la fin de l'année (voir photo). Le système ne sera nécessaire que pour effectuer des virements vers un compte extérieur pour la première fois. Pour la simple consultation des comptes ou pour des virements internes, les clients de Barclays continueront d'utiliser la procédure actuelle, qui conjugue authentification en ligne avec confirmation par SMS.

La mise en place de telles nouveautés résulte bien sûr de la nécessité pour les banques d'innover sans cesse face aux dangers d'Internet. ' L'une des bonnes stratégies est de ne pas utiliser le même système que les autres banques, explique Nicolas Woirhaye, directeur de la cellule CERT-Lexsi de la société Lexsi, spécialisée en audit de sécurité. Le système du Crédit agricole est très original de ce point de vue. '.

La Caisse d'épargne allie Internet et téléphone mobile

Pour parer au vol des mots de passe et des identifiants, la plupart des banques françaises ont mis en place des claviers virtuels : l'internaute y saisit son mot de passe en cliquant sur des images qui font office de touches d'un clavier. ' Mais tous les établissements n'ont pas pensé à crypter ensuite l'envoi des données depuis le clavier virtuel et le navigateur, regrette Nicolas Woirhaye. Seules la BNP et la Société générale l'ont fait. '

' Une autre solution, mise en place par la Caisse d'épargne, combine site Web et téléphone mobile, poursuit-il. C'est très efficace. ' L'internaute se connecte au site de la banque et donne son numéro de téléphone mobile. Il est alors rappelé par un automate qui lui demande son mot de passe, à composer sur le téléphone lui-même.

Néanmoins, conclut Nicolas Woirhaye, ' tant que les banques permettront les virements en ligne, les attaques de pirates continueront. Et les banques n'ont pas la capacité de réagir assez vite '.

agrandir la photo

envoyer
par mail

imprimer
l'article

Actu précédente

Intel mise sur plus de mobilité et de puissance

Actu Suivante

La ville d'Amiens renonce au vote électronique

3 AVIS SUR CET ARTICLE

Avis sur «Face aux pirates, les banques cherchent la parade»

Banques suisse en avance

de fouch-69 , posté le 23 avril 2007 à 08h03

UBS a deja un système de carte a puce et de lecteur...

Une banque Suisse c'est la reference ..... :) :) :) :)

alerter le modérateur

La suisse n'a pas le monopole de la sécurité

de CAPX509 , posté le 08 mai 2007 à 13h48

La Banque dans laquelle je travaille propose des certificats X509 (clé USB et carte à puce) pour l'authentification forte (la seule au monde) et ce depuis 2001.
Nous avons également mis en place l'authentification forte avec carte puce et OTP (One Time Password) depuis quelques mois, solution qui sera reprise par la BNP dans quelques mois pour ses clients entreprises uniquement (contrairement à nous).

Par ailleurs, en Suède toutes les banques en lignes proposent la solution OTP uniquement, il n'y a plus de user/mdp....

alerter le modérateur

Banques Suisses en avances, d'autres moins.

de roldi , posté le 30 juillet 2007 à 21h48

J'aimerais clarifier les choses. Certaines banques Suisses ont améliorés depuis quelques années déjà leurs systèmes de sécurités d'accès ONLINE d'autres sont encore un peu en retard. Mais dans l'ensemble. Les Banques Suisses ont quand même quelques années d'avance sur les Banques Françaises et Italiennes par exemple. Il faut dire aussi que les Banques Suisse sont plus sûr aux niveaux confidentialités et sécurités. Certe les Banques Suisse n'ont pas le monopole de la sécurité. Mais au vue de ce qui se passe dans les autres pays, pas forcément la France, il faut dire que nous sommes quand même plus en avances.

UBS (Union Bank of Switzerland) : Carte à puce
CREDIT SUISSE : Clé RSA ID. Un numéro qui change toutes les 15 secondes

POSTFINANCE : Carte à numéro aléatoire.
BANQUE CANTONALE : Carte à numéro aléatoire.
BANQUE MIGROS : soit Carte à puce, soit Carte à numéro aléatoire.
BANQUE COOP : Carte à numéro aléatoire.
RAIFFEISEN BANK : Carte à numéro aléatoire.

Les autres banques Suisses étant surtout privées, les informations pour ces dernières ne me sont pas connues pour le moment.

alerter le modérateur