Discussion :

[Katleen Erna]

Comment sécuriser efficacement le site Internet d'une banque ? Les mouvements de souris continus et les mots de passe à cliquer suffisent-ils ?

Certaines banques en ligne proposent diverses méthodes pour garantir à leurs clients une sécurisation optimale de leurs opérations.

CIB Bank, une banque hongroise, propose ainsi une application pour les transferts de fonds qui demande à son utiliateur de continuer à bouger sa souris tout le long de la procédure, afin d'en garantir la sécurité.



Certains programmeurs restent sceptiques quant à la fiabilité de telles méthodes.

Selon certains d'entre eux, remuer la souris générerait une entropie (quantité d'information contenue ou délivrée par une source d'information) permettant de favoriser le transfert sécurisé de données cryptées.

D'autres répondent que sur la toile, aucun échange n'est sécurisé, souris en mouvement ou pas. Ils soulignent le recours à des keyloggers et autres malwares contre lesquels cette technique est totalement inéficace.

Certaines banques, comme ING-Direct, proposent d'ailleurs de saisir son code PIN via un clavier virtuel à cliquer avec sa souris, afin d'éviter le vol de mots de passe par espionnage des frappes du clavier. Mais une localisation des pixels cliqués est toujours possible. Certains trojans seraient de plus capables de mémoriser les clics, et de prendre des screenshots.

Les risques s'accroissent encore plus lorsque les clients consultent leurs comptes via un cybercafé, dont les machines sont souvent des nids à malwares.

D'autres professionnels de l'informatique de remarquer qu'actuellement, les botnets sont plutôt sous-utilisés et cantonnés à certaines tâches ingrates comme le spam. Mais si ils étaient pleinement exploités, ils pourraient scanner le net à la recherche de mots de passe et d'informations bancaires...

D'où vient le plus grand danger, de l'ordinateur de l'usager ou bien d'un site compromis ?

Quel est le plus difficile : voler un numéro de carte bancaire ou bien l'utiliser ?

Les mesures citées plus haut vous paraissent-elles suffisantes pour garantir la sécurité des transactions financières en ligne ? EN auriez-vous d'autres à proposer ?

[romaintaz]

La méthode du clavier virtuel cliquable existe depuis pas mal de temps sur le site de la BNP.
Franchement, c'est quoi cette idée ??
Ils ont pensé que l'utilisateur pouvait avoir une personne derrière elle qui regarde les mouvements du curseur ? Genre dans un cyber café, au boulot, etc...

Je trouve ça plutôt ridicule comme solution !

[Federico_muy_bien]

Sur la societe generale il y a le clavier virtuel. De plus celui ci se place à un endroit aléatoire de l'ecran à chaque fois ! Donc la technique de localisation dess pixels passe à la trappe. Aprés il y a surement d'autres moyens de se faire avoir ...

[chemanel]

La méthode du clavier virtuel cliquable existe depuis pas mal de temps sur le site de la BNP.
Franchement, c'est quoi cette idée ??
Ils ont pensé que l'utilisateur pouvait avoir une personne derrière elle qui regarde les mouvements du curseur ? Genre dans un cyber café, au boulot, etc...

Je trouve ça plutôt ridicule comme solution !

Tu accèdes a ton homebanking dans un cybercafé toi? ^^

[Sylvaner]

Chez la poste le clavier virtuel existe depuis longtemps et la position des chiffres change a chaque fois.

A quand la danse de St Guy nu devant la webcam en chantant Annie Cordy pour nous identifier ?

[jmini]

Regardez comment la sécurité est faite en Suisse (et j'ai un compte tout simple d'étudiant).

Il n'y a plus une banque qui fonctionne avec un simple login / password... Elles ont toutes un outil exterieur (du genre carte à puce à mettre dans une petite calculette, afficheur personalisé qui change toutes les 30 secondes synchronisé avec la banque...) Bref les suisses ne plaisantent pas avec le secret bancaire.

Ma banque en France m'envoie tous les deux ans un tableau comprenant 15 chiffres et m'en demande aléatoirement 3 à chaque login.


Concernant toutes les autres sécurités du type bouger sa souris ou clavier virtuel, je doute qu'elles apportent quelque chose en terme de non rejouabilité... Ca complique juste un petit peu la tache...


Quand à 3-D Secure combien de sites français l'utilisent et combien de banque française le propose avec autre chose que la date de naissance ?

.

[romaintaz]

Tu accèdes a ton homebanking dans un cybercafé toi? ^^

Non, j'ai même jamais dû aller dans un cybercafé de ma vie Mais du boulot, oui, clairement.

[LooserBoy]

Sur la societe generale il y a le clavier virtuel. De plus celui ci se place à un endroit aléatoire de l'ecran à chaque fois ! Donc la technique de localisation dess pixels passe à la trappe. Aprés il y a surement d'autres moyens de se faire avoir ...

J'y suis en client.

Ah bon?!?! Capture l'ensemble de l'écran et le tour et joué.
De plus, la touche du clavier sélectionnée est entouré de rouge pour être sûr de pas te planter mais ça aide aussi à voir laquelle tu as cliqué.

Mon client utilise une calculette qui génère un code, pour authentifier l'utilisateur sur son outil de passage d'ordre. Le problème est que si tu te fais voler la calculette et ton login, le problème est le même...

Il y a des système d'identification par clé usb, je ne sais pas vraiment ce que ça vaut mais le problème est certainement le même...


En y pensant, je pense qu'une identification multiple avec biométrie et sélection aléatoire des contrôles à effectuer serait certainement un peu plus compliqué à trafiquer.
Je m'explique:
- La première connexion, le système demande une empreinte du pouce gauche puis un scan rétinien puis un login vocal.
- La deuxième connexion, le système demande une empreinte de l'index droit puis une empreinte palmaire gauche enfin un login/password clavier sans rapport avec le login vocal bien sur...
- etc.
Il faudrait vachement bien connaitre un utilisateur pour lui pirater son compte et lors d'une intrusion, les suspects seraient sur une liste vraiment courte: proches, amis, maitresse,...

C'est ce qui fait que je porte des gants, n'ai pas d'amis, ni de maitresse et je reste à bonne distance de mes collègues...
Parano, moi?!?! Non pourquoi vous dites cela? Qu'est-ce que vous me voulez? C'est le garde champêtre qui vous envoie, c'est ça?
Mais bien sûr, le garde champêtre...

[bombseb]

Ils ont pensé que l'utilisateur pouvait avoir une personne derrière elle qui regarde les mouvements du curseur ?

ce n'est pas pour induire en erreur un éventuel espion grâce aux mouvements de la souris, apparement c'est pour générer de l'entropie... je laisse le soin à d'autres plus calés que moi expliquer ce que c'est

(d'apres ce que je crois savoir ca permettrais de crypter plus efficacement en générent des nombres aléatoires plus aléatoires)

[kmdkaci]

romaintaz
La méthode du clavier virtuel cliquable existe depuis pas mal de temps sur le site de la BNP.
Franchement, c'est quoi cette idée ??

A moins que j'aie pas bien saisi ta préoccupation, l'idée de la souris est efficace. Moi, j'étais surpris qu'elle ne soit pas intégré dans beaucoup de sites. Les hooks claviers et les remèdes existaient depuis longtemps. Mais les hooks souris, rarement les gens qui prennent ça en compte, et pourtant c'est aussi dangereux. Simuler et capturer les positions de la souris sur une interface qu'on connait déjà est une méthode "simple" pour déduire les mots de passes générés suite à des cliques. C'est pour cela que sur BNP, et afin d'éviter les hooks claviers, il ont mis en place un carrée avec les chiffres pour générer les mots de passes en cliquant, mais la particularité, c'est que les postions des chiffres différent d'une session à une autre.

[Pierre Fauconnier]

Salut.

Moi, j'ai deux banques ($$$$), et deux systèmes d'identification.

DeltaLloyd: A la connexion, je dois introduire un code de dix signes (mémorisable via un fichier .key et qui peut s'afficher automatiquement. Si différent du fichier .key => dehors). Je reçois, à chaque connexion, une série de huit chiffres. Je dois alors introduire ma carte de banque dans un lecteur, saisir mon code à 4 chiffres, puis le code à huit chiffres. Le lecteur me calcule un code à huit huit chiffres que je dois saisir sur le site pour entrer... Le lecteur n'est pas individuel et je peux utiliser n'importe quel lecteur du même type. Mais comme il faut le fichier .key, le code de la carte et la carte, le risque est limité.

Record (ING): Pas de carte, mais un petit appareil dans lequel je dois saisir un code à 4 chiffres. A la connexion, je dois introduire un code à 10 chiffres non mémorisable (pas de cookies) reçu à l'ouverture du compte, puis je dois saisir mon code à 4 chiffres sur l'appareil externe, qui me renvoie un code à six chiffres que je saisis lors du login... L'appareil externe est personnel et je ne peux donc utiliser que le mien.Cela m'a l'air assez fiable aussi.

[Skyounet]

Ben moi sur le site de ma banque (RBC Banque Royale) y'a rien de tout ça.

Je mets mon login et mon mot de passe.

Si je n'ai pas spécifié la machine comme étant sure alors ça me demande une question secrète parmi les 3 que j'ai défini à l'ouverture du compte.

Niveau secure on a vu mieux... Du coup je m'y connecte que de chez moi.

Sur mon autre banque (Crédit Agricole) je dois taper mon numéro de compte ainsi qu'un code avec le clavier numérique virtuel aléatoire cliquable.

Jamais eu de truc de carte à puce transcodé avec mon ADN

[openaccess]

Il n'y a pas de système de sécurité sur à 100%....

Le coup du clavier virtuel, de bouger la souris, etc... sont selon moi des artifices plus dangereux que sûre. La meilleur sécurité est bien souvent la simplicité. Leur système de clavier virtuel & co sont certainement bourré de failles et de bugs.....

Je pense qu'à l'heure actuelle les meilleurs solutions sont les tokens d'authentification forte. (Les espèces de calculettes qui sorte un nombre différent à chaque fois).

Ensuite la sécurité doit aussi être adapté à l'usage.... Consultation seulement, consultation + virement, etc....

[jmini]

Ensuite la sécurité doit aussi être adapté à l'usage.... Consultation seulement, consultation + virement, etc....

Ça c'est un bon point :

Il me semble que beaucoup de banques qui ne disposent pas d'une autenfication très forte, ne permettent pas d'ajouter n'importe quel compte pour faire un virement.
Il y a validation par courrier ou SMS

[pcaboche]

A quand la danse de St Guy nu devant la webcam en chantant Annie Cordy pour nous identifier ?

Avec la vidéo automatiquement uploadée sur YouTube, ça pourrait être marrant...

[toomsounet]

Bref les suisses ne plaisantent pas avec le secret bancaire.

Tu m'etonnes John

[publicStaticVoidMain]

La méthode du clavier virtuel cliquable existe depuis pas mal de temps sur le site de la BNP.
Franchement, c'est quoi cette idée ??
Ils ont pensé que l'utilisateur pouvait avoir une personne derrière elle qui regarde les mouvements du curseur ? Genre dans un cyber café, au boulot, etc...

Je trouve ça plutôt ridicule comme solution !

Ils ont fait la meme chose avec le site du CRédit Agricole et je leur ai meme envoyé un mail pour leur dire que cette méthode n'était pas fiable pour les raisons que t'a évoquées. .
Rien n'a été fait

[pmithrandir]

Sur le site de la poste, 2 sécurité sont mise en place :
- Le clavier virtuel ou l'on ne clique pas(on reste juste un peu plus longtemps sur la "touche" que l'on veut cliqué)
- le fait qu'on ne puisse RIEN faire de critique. Pour faire un virement, il faut avoir préalablement demander un ajout du compte destination par courrier, et je crois que certains comptes ne sont pas autorisé(hors Europe...)

Sur HSBC, il demande à chaque fois des lettres différentes de ton mot de passe.
Exemple pour un mdp : coucou36
il vous dit : aujourd'hui, veuillez tapé le 3ème, 6ème et 8ème caractère.

Donc si quelqu'un log, il lui faut plusieurs accès pour avoir le mot de passe complet.
Je verrai donc bien un mélange des techniques de la poste, (clavier virtuel) et de celle d'HSBC.

Pour la souris qui bouge, je pensais bêtement que c'était pour éviter que la manipulation soit faite par un script

[cf1020]

Personnellement pour mes applications de "Cloud", j'ai une carte de crédit avec une matrice de 8 colonnes sur 8 lignes, chaque groupe est composé de 4 chiffres, quand on fait login, l'application va demander aleatoirement 3 chiffres qu'il faut inséreren plus de username et mot de passe, si la combinaison ne fonctionne pas, il refuse.

[bobdole]

Pour info, le mode d'authentification avec la petite calculette dans laquelle on met une carte bancaire s'appelle EMV CAP.
Les lecteurs sont en théorie interopérables, mais ce n'est pas garanti en pratique.

C'est actuellement un des moyens les plus sécurisés. Il permet de s'assurer que l'utilisateur dispose de la carte bancaire ET du code PIN associé.

L'OTP (One Time Password) généré dépend du compteur de transactions présent au sein de la carte à puce.