L’accès à vos comptes bancaires en ligne est-il vraiment sécurisé ?
L’accès aux comptes bancaires est-il autant sécurisé dans toutes les banques qui proposent des services en ligne ?
Cette question m’est venue suite à une simple constatation faite récemment : en effet, mes comptes sont séparées dans deux banques, et je trouve que la sécurité n’est pas de même niveau.
Comme un exemple vaut toujours mieux qu’un long discours, voici l’identification nécessaire pour accéder en ligne à une banque X.
Accès comptes en ligne Banque X
Comme vous pouvez le constater, il s’agit d’un simple formulaire HTML : pour pouvoir me connecter, il faut que je renseigne mon numéro de compte à 13 chiffres, ainsi qu’un mot de passe.
Et voilà les étapes nécessaires pour pouvoir me connecter à mon compte en ligne chez Dexia.
Accès comptes en ligne Dexia
Accès comptes en ligne Dexia
Ici, le système d’authentification est totalement différent. Basé sur Flex/Flash, il faut renseigner trois paramètres :
- un identifiant à 6 chiffres,
- un mot de passe de votre choix,
- trois caractères présents sur une carte unique en votre possession. On peut remarquer que cette sélection se fait à l’aide de la souris, sur une grille aléatoire, et avec un curseur présentant une forme géométrique.
Personnellement, je trouve le second système beaucoup plus évolué et sécurisé par rapport au premier : bien entendu, le premier système reste protégé de toute attaque de type « Man in the Middle » par le protocole HTTPS. Cependant, il reste vulnérable dans le cas où un logiciel espion est installé sur le poste depuis laquelle la personne se connecte : ces logiciels espions permettent d’enregistrer toute frappe sur le clavier, mais également de faire des captures d’écrans à intervalles réguliers.
Le système d’identification de Dexia, lui, est moins vulnérable à ce genre d’attaque : en effet, même en enregistrant les frappes du clavier, il manquera les caractères spécifiés sur la carte. Et les captures d’écrans ne changeront rien, puisque le curseur de la souris couvre 4 caractères à la fois.
Il existe également des systèmes d’identification alternatifs, utilisant des tokens ou des cartes à puce.
Et vous, que pensez-vous de ces systèmres ? Quelles identifications sont nécessaires pour accéder à vos comptes en ligne ?
Commentaire by biniou14 — 29 décembre 2009 @ 9:38
le coup des captures d’écran à intervalle régulier, je ne connaissais pas. Pour ma banque (Caisse epargne), la saisie du mot de passe (numérique only) se fait par un composant flash avec les numéros qui changent de place à chaque fois). Je trouvais cela pas mal mais du coup, c’est un peu faible
)
Commentaire by Bastien — 29 décembre 2009 @ 10:30
Pour ma part, ma banque, que je ne citerai pas oblige les mots de passe à être des chiffres sur 6 caractères, ce que je trouve relativement peu sécurisé.
Ceci étant dit, la plupart du temps que j’y vais, c’est pour consulter l’argent qu’il me reste sur mon compte.
Je trouve que le dernier screenshot est certes bien secure, mais extrêmement complexe pour un pauvre petit gars comme moi qui va juste vérifier si il est à +100 ou à -100 sur son compte. Au final, la banque en ligne c’est comme Disneyland, à la place des 2h de queue et 1min d’attraction, c’est 2h de sécurité pour 1min de consultation
Commentaire by Romain — 29 décembre 2009 @ 11:02
@Bastien > Effectivement, 6 caractères c’est peu pour un mot de passe…
Je ne sais pas s’il est possible de faire un truc user-friendly et super secure sans tokens/cartes à puce !
Commentaire by Soso — 29 décembre 2009 @ 11:34
Le système du CA est pas mal selon moi et pas trop chiant : on doit saisir au clavier son numéro de compte sur 11 chiffres, puis son code à la souris dans une grille aléatoire générée en Javascript. Et c’est tout. Par contre, à part regarder ses comptes et faire des virements sur des comptes approuvés, on ne peut pas faire grand chose.
Le système de l’UBS, en Suisse, est plus évolué mais je trouve ça chiant perso, de devoir faire avoir sur soi, une calculette qui te donne ton code personnel. En résumé, il faut saisir son numéro de compte, allumer sa calculette, entrer son code perso pour la calculette, saisir un numéro qui est généré aléatoirement, un autre numéro nous est donné à la place, le saisir, et on y est… Pas très convivial comme système, mais bon, je suppose que c’est nécessaire vu que l’on peut faire pas mal de trucs après.
Commentaire by Quentin — 29 décembre 2009 @ 12:56
Il faut savoir qu’en Belgique, chez Fortis pour ne pas les citer on vous fournit un lecteur de carte dans lequel vous l’insérez, vous y encoder votre pin ainsi que les informations que la page vous fournit et cela crée avec un algo un code chiffré.
Sur la page web il faut l’identifiant client, le numéro de lecteur et le code crée par celui-ci.
Ca décourage déjà beaucoup plus qu’un vulgaire formulaire HTML
Quentin
Commentaire by Giraultises — 30 décembre 2009 @ 12:16
Bonjour et merci pour ce point de vue.
Pour ma part, je pense que les tokens devrait prendre la place de toutes autres méthodes d’authentification. Une sécurité physique + numérique reste la méthode la plus sécurisé.
En ce qui concerne la forme du token, là en revanche, cela reste plus difficile à trancher. Mais à mon avis deux formes principales devraient prendre le devant de la scène dans les années à venir : la carte bancaire et à plus long terme, le téléphone mobile.
Si vous vous intéressez à ce sujet, je vous conseille un très bon blog, tenu par Sylvain Maret, http://www.citadelle-electronique.net.
A lire dans ces différents billets >> http://www.citadelle-electroni.....redit.html et http://www.citadelle-electroni.....ience.html
Bonne lecture
@+++
Commentaire by Gonzague — 2 janvier 2010 @ 22:27
Il faudrait un token intégré en nous
Commentaire by Croote — 13 août 2013 @ 14:15
Une idée pour concilier les deux:
- un accès « simple » (numéro + mdp pas trop chiant) pour la consultation
- une deuxième authentification, force cette fois-ci, pour les virements externe, enregistrement/modifications de bénéficiaires, etc…
Dans ma banque en ligne c’est un peu ça, mais la deuxième authentification n’est toujours qu’un mot de passe à saisir sur un clavier virtuel: un espion qui prends une capture à chaque clic le récupérera …