Les banques renforcent leurs accès web

Associer les banques à des passoires serait exagéré, même si, historiquement, elles ont connu nombre de soucis sécuritaires, en particulier celles qui officient uniquement sur internet. Les banques de renom ne sont pas les seules à être visées par les pirates. Lors de son dernier passage à Paris, Mikko Hypponen, directeur du laboratoire antivirus de F-Secure, a décrit quelques attaques de haut vol mettant en ?"uvre des scripts, qui concernaient plusieurs banques françaises de détail ou d'affaires. Pour un utilisateur, rien n'est pire, en effet, que de se connecter à partir de son ordinateur pour effectuer une opération en ligne auprès de sa banque et de s'apercevoir, ensuite, qu'il a été escroqué.Les banques sont prêtes à donner à leurs bons (et riches) clients divers moyens d'authentification forte via une clé USB ou une carte à puce. Mais, au commun des mortels elles n'offrent le plus souvent que le simple couple login-mot de passe dans un tuyau SSL. Proposer un accès sécurisé à l'ensemble des clients est encore jugé trop coûteux. Des progrès sont cependant en cours. Le pavé numérique virtuel est à la mode dans certains établissements. Principaux avantages : il protège contre les keyloggers (programmes qui espionnent les frappes du clavier) et change peu les habitudes de l'utilisateur. Principal inconvénient : il ne peut rien contre l'attaque MITM (Man in the middle) ou contre le simple coup d'?"il par-dessus l'épaule. Il ne permet pas toujours, non plus, de lutter contre le screen scraping (programme récupérant ou extrayant la sortie de l'affichage d'un autre programme). ' N'oublions pas que le mot de passe reste statique et qu'il ne suffit pas à sécuriser l'authentification, expose Bernard Montel, consultant en sécurité chez RSA Security. Il faut voir le pavé numérique virtuel comme une première étape de sensibilisation des utilisateurs. ' Une manière de redonner du crédit aux banques après leurs problèmes de phishing ou de pharming (renvoi sur un site bancaire fictif suite au piratage des serveurs DNS) qui ont défrayé la chronique.

Quatre grands freins aux opérations en ligne

Dans une enquête publiée en mai 2006, intitulée Why Half of Europe's Net Users Don't Bank Online, le cabinet d'études Forrester Research répertorie quatre principaux freins au passage en ligne des clients des banques. Le premier est lié aux gestes habituels des clients. Les Anglais apprécient de réaliser leurs opérations par téléphone, les Espagnols ne rechignent pas à se déplacer à leur agence locale, et les Suédois sont très contents d'utiliser leurs distributeurs de billets. Les craintes sécuritaires retiennent un tiers des clients, notamment les personnes âgées ou sans grande expérience en informatique et internet. Le troisième frein est lié à des difficultés de fonctionnement. Certains services de banques en ligne sont jugés trop lents, ou trop compliqués pour effectuer un simple versement. Enfin, le dernier aspect concerne le mot de passe : une personne sur cinq abandonne la gestion en ligne, car elle est incapable de s'en souvenir. Les Anglais ont la mémoire la plus fragile (près d'un tiers d'entre eux ont oublié leur mot de passe et ne se connectent plus), les Allemands sont les moins touchés du fait de leur système PIN/ TAN (PIN/Transaction number) qui ne leur impose pas de mot de passe à retenir.

RSA arrive, fort des rachats de Cyota et PassMark

Les Allemands ne sont toutefois pas mieux protégés, puisque J. Buchman, M. Fischer, M. Lippert et A. Wiesmaier, du département informatique de l'université de Darmstadt, ont publié, en mai dernier, une étude dans laquelle ils disent avoir aisément court-circuité ce type d'authentification et d'autorisation sur des transactions en ligne réelles.Plusieurs solutions pour lutter contre la fraude bancaire, à base de services et de produits, arrivent en France et en Europe avec RSA Security (récemment racheté par EMC). Elles sont le fruit des rachats de l'israélien Cyota en décembre 2005 et de l'américain Pass-Mark Security en avril 2006. PassMark Security protège vingt millions d'utilisateurs. Les établissements financiers, et par voie indirecte leurs clients, sont clairement visés. ' RSA Security ne cherche pas à imposer son jeton SecurID. Même si nous sommes le leader mondial des mots de passe dynamiques à usage unique (OTP, One-time password), notre objectif n'est pas que tout le monde soit équipé d'un jeton SecurID. Les solutions professionnelles ne sont pas forcément optimales pour le grand public ', précise Gaël Barrez, nouveau responsable des ventes pour l'Europe du Sud au sein de la division de lutte contre la fraude bancaire de RSA Security. L'offre de RSA affiche déjà un certain succès. RSA Transaction Monitoring a été adopté par la Barclays, Halifax Bank of Scotland et Banca Popolare di Sondrio. Parmi les mille cinq cents établissements financiers utilisant RSA Adaptive Authentication, on trouve Alliance & Leicester, UniCredit Banca, ING Direct, E*Trade Financial, Washington Mutual ou encore Bank of America. Citons également Royal Bank of Canada, Barclays, ING Direct, Standard Bank et Visa qui ont retenu RSA FraudAction.Si le taux de fraude est fortement réduit, le nombre de faux positifs l'est également. RSA Security estime que, pour chaque transaction frauduleuse bloquée, une seule transaction légitime est affectée alors que le ratio habituel est de vingt pour un. De quoi séduire les banquiers.