Les sites Internet des banques comptent évidemment parmi les premières cibles des pirates. Chacune d’entre elles cherche donc la parade
au phishing et aux malwares, tels que les chevaux de Troie ou les virus. Et, pour être efficace, il s’agit de faire preuve d’imagination. Deux banques s’apprêtent
ainsi à tester des solutions originales pour mieux protéger leurs clients. Point commun : ne plus demander à l’internaute ses identifiants dans le navigateur mais recourir à un dispositif extérieur.En mai prochain, le Crédit agricole proposera ainsi à ses clients professionnels (entreprises, commerçants, etc.) la carte Tooal (prononcez toile), qui n’est autre qu’un CD-Rom, sous la forme d’une carte bancaire, doté d’un
logiciel d’authentification crypté. Ainsi, lorsqu’un client de la banque veut accéder à son compte en ligne, il insère le CD-Rom dans son lecteur. Puis, un menu apparaît lui demandant de saisir son mot de passe sur un clavier virtuel, opération
vérifiée par la carte Tooal. Il est ensuite automatiquement connecté à ses comptes bancaires.Ce système a été développé par une jeune entreprise française,
Mediscs, installée à Montpellier. Le Crédit agricole ne donne pas de précision pour le moment sur une possible mise à disposition pour ses clients grand public.
‘ Ne pas utiliser le même système que les autres ‘
La banque britannique Barclays a choisi, elle, une identification alliant une carte bancaire à puce à un lecteur. Outre-Manche, 500 000 de ses clients devraient recevoir leur lecteur d’ici à la fin de l’année (voir
photo). Le système ne sera nécessaire que pour effectuer des virements vers un compte extérieur pour la première fois. Pour la simple consultation des comptes ou pour des virements internes, les clients de Barclays continueront d’utiliser
la procédure actuelle, qui conjugue authentification en ligne avec confirmation par SMS.La mise en place de telles nouveautés résulte bien sûr de la nécessité pour les banques d’innover sans cesse face aux dangers d’Internet. ‘ L’une des bonnes stratégies est de ne pas utiliser le même système que
les autres banques, explique Nicolas Woirhaye, directeur de la cellule CERT-Lexsi de la société Lexsi, spécialisée en audit de sécurité. Le système du Crédit agricole est très original de ce point de
vue. ‘.
La Caisse d’épargne allie Internet et téléphone mobile
Pour parer au vol des mots de passe et des identifiants, la plupart des banques françaises ont mis en place des claviers virtuels : l’internaute y saisit son mot de passe en cliquant sur des images qui font office de touches d’un
clavier. ‘ Mais tous les établissements n’ont pas pensé à crypter ensuite l’envoi des données depuis le clavier virtuel et le navigateur, regrette Nicolas Woirhaye. Seules la BNP et la
Société générale l’ont fait. ‘‘ Une autre solution, mise en place par la Caisse d’épargne, combine site Web et téléphone mobile, poursuit-il. C’est très efficace. ‘ L’internaute se connecte au
site de la banque et donne son numéro de téléphone mobile. Il est alors rappelé par un automate qui lui demande son mot de passe, à composer sur le téléphone lui-même.Néanmoins, conclut Nicolas Woirhaye, ‘ tant que les banques permettront les virements en ligne, les attaques de pirates continueront. Et les banques n’ont pas la capacité de réagir assez
vite ‘.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
