IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Comment sécuriser efficacement le site Internet d'une banque ?

  1. #1
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    Juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Juillet 2009
    Messages : 1 547
    Points : 76 188
    Points
    76 188
    Par défaut Comment sécuriser efficacement le site Internet d'une banque ?
    Comment sécuriser efficacement le site Internet d'une banque ? Les mouvements de souris continus et les mots de passe à cliquer suffisent-ils ?

    Certaines banques en ligne proposent diverses méthodes pour garantir à leurs clients une sécurisation optimale de leurs opérations.

    CIB Bank, une banque hongroise, propose ainsi une application pour les transferts de fonds qui demande à son utiliateur de continuer à bouger sa souris tout le long de la procédure, afin d'en garantir la sécurité.



    Certains programmeurs restent sceptiques quant à la fiabilité de telles méthodes.

    Selon certains d'entre eux, remuer la souris générerait une entropie (quantité d'information contenue ou délivrée par une source d'information) permettant de favoriser le transfert sécurisé de données cryptées.

    D'autres répondent que sur la toile, aucun échange n'est sécurisé, souris en mouvement ou pas. Ils soulignent le recours à des keyloggers et autres malwares contre lesquels cette technique est totalement inéficace.

    Certaines banques, comme ING-Direct, proposent d'ailleurs de saisir son code PIN via un clavier virtuel à cliquer avec sa souris, afin d'éviter le vol de mots de passe par espionnage des frappes du clavier. Mais une localisation des pixels cliqués est toujours possible. Certains trojans seraient de plus capables de mémoriser les clics, et de prendre des screenshots.

    Les risques s'accroissent encore plus lorsque les clients consultent leurs comptes via un cybercafé, dont les machines sont souvent des nids à malwares.

    D'autres professionnels de l'informatique de remarquer qu'actuellement, les botnets sont plutôt sous-utilisés et cantonnés à certaines tâches ingrates comme le spam. Mais si ils étaient pleinement exploités, ils pourraient scanner le net à la recherche de mots de passe et d'informations bancaires...

    D'où vient le plus grand danger, de l'ordinateur de l'usager ou bien d'un site compromis ?

    Quel est le plus difficile : voler un numéro de carte bancaire ou bien l'utiliser ?

    Les mesures citées plus haut vous paraissent-elles suffisantes pour garantir la sécurité des transactions financières en ligne ? EN auriez-vous d'autres à proposer ?

  2. #2
    Rédacteur
    Avatar de romaintaz
    Homme Profil pro
    Java craftsman
    Inscrit en
    Juillet 2005
    Messages
    3 790
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 46
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Java craftsman
    Secteur : Finance

    Informations forums :
    Inscription : Juillet 2005
    Messages : 3 790
    Points : 7 275
    Points
    7 275
    Par défaut
    La méthode du clavier virtuel cliquable existe depuis pas mal de temps sur le site de la BNP.
    Franchement, c'est quoi cette idée ??
    Ils ont pensé que l'utilisateur pouvait avoir une personne derrière elle qui regarde les mouvements du curseur ? Genre dans un cyber café, au boulot, etc...

    Je trouve ça plutôt ridicule comme solution !

  3. #3
    Membre habitué Avatar de Federico_muy_bien
    Profil pro
    Inscrit en
    Avril 2009
    Messages
    154
    Détails du profil
    Informations personnelles :
    Âge : 38
    Localisation : France

    Informations forums :
    Inscription : Avril 2009
    Messages : 154
    Points : 189
    Points
    189
    Par défaut
    Sur la societe generale il y a le clavier virtuel. De plus celui ci se place à un endroit aléatoire de l'ecran à chaque fois ! Donc la technique de localisation dess pixels passe à la trappe. Aprés il y a surement d'autres moyens de se faire avoir ...

  4. #4
    Membre confirmé
    Avatar de chemanel
    Homme Profil pro
    Inscrit en
    Janvier 2005
    Messages
    173
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2005
    Messages : 173
    Points : 457
    Points
    457
    Par défaut
    Citation Envoyé par romaintaz Voir le message
    La méthode du clavier virtuel cliquable existe depuis pas mal de temps sur le site de la BNP.
    Franchement, c'est quoi cette idée ??
    Ils ont pensé que l'utilisateur pouvait avoir une personne derrière elle qui regarde les mouvements du curseur ? Genre dans un cyber café, au boulot, etc...

    Je trouve ça plutôt ridicule comme solution !
    Tu accèdes a ton homebanking dans un cybercafé toi? ^^

  5. #5
    Membre éprouvé

    Inscrit en
    Décembre 2009
    Messages
    146
    Détails du profil
    Informations forums :
    Inscription : Décembre 2009
    Messages : 146
    Points : 900
    Points
    900
    Par défaut
    Chez la poste le clavier virtuel existe depuis longtemps et la position des chiffres change a chaque fois.

    A quand la danse de St Guy nu devant la webcam en chantant Annie Cordy pour nous identifier ?

  6. #6
    Membre éprouvé

    Inscrit en
    Janvier 2009
    Messages
    467
    Détails du profil
    Informations forums :
    Inscription : Janvier 2009
    Messages : 467
    Points : 1 253
    Points
    1 253
    Billets dans le blog
    2
    Par défaut
    Regardez comment la sécurité est faite en Suisse (et j'ai un compte tout simple d'étudiant).

    Il n'y a plus une banque qui fonctionne avec un simple login / password... Elles ont toutes un outil exterieur (du genre carte à puce à mettre dans une petite calculette, afficheur personalisé qui change toutes les 30 secondes synchronisé avec la banque...) Bref les suisses ne plaisantent pas avec le secret bancaire.

    Ma banque en France m'envoie tous les deux ans un tableau comprenant 15 chiffres et m'en demande aléatoirement 3 à chaque login.


    Concernant toutes les autres sécurités du type bouger sa souris ou clavier virtuel, je doute qu'elles apportent quelque chose en terme de non rejouabilité... Ca complique juste un petit peu la tache...


    Quand à 3-D Secure combien de sites français l'utilisent et combien de banque française le propose avec autre chose que la date de naissance ?

    .

  7. #7
    Rédacteur
    Avatar de romaintaz
    Homme Profil pro
    Java craftsman
    Inscrit en
    Juillet 2005
    Messages
    3 790
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 46
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Java craftsman
    Secteur : Finance

    Informations forums :
    Inscription : Juillet 2005
    Messages : 3 790
    Points : 7 275
    Points
    7 275
    Par défaut
    Citation Envoyé par chemanel Voir le message
    Tu accèdes a ton homebanking dans un cybercafé toi? ^^
    Non, j'ai même jamais dû aller dans un cybercafé de ma vie Mais du boulot, oui, clairement.

  8. #8
    Membre chevronné Avatar de LooserBoy
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Février 2005
    Messages
    1 085
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2005
    Messages : 1 085
    Points : 1 977
    Points
    1 977
    Par défaut
    Citation Envoyé par Federico_muy_bien Voir le message
    Sur la societe generale il y a le clavier virtuel. De plus celui ci se place à un endroit aléatoire de l'ecran à chaque fois ! Donc la technique de localisation dess pixels passe à la trappe. Aprés il y a surement d'autres moyens de se faire avoir ...
    J'y suis en client.

    Ah bon?!?! Capture l'ensemble de l'écran et le tour et joué.
    De plus, la touche du clavier sélectionnée est entouré de rouge pour être sûr de pas te planter mais ça aide aussi à voir laquelle tu as cliqué.

    Mon client utilise une calculette qui génère un code, pour authentifier l'utilisateur sur son outil de passage d'ordre. Le problème est que si tu te fais voler la calculette et ton login, le problème est le même...

    Il y a des système d'identification par clé usb, je ne sais pas vraiment ce que ça vaut mais le problème est certainement le même...


    En y pensant, je pense qu'une identification multiple avec biométrie et sélection aléatoire des contrôles à effectuer serait certainement un peu plus compliqué à trafiquer.
    Je m'explique:
    - La première connexion, le système demande une empreinte du pouce gauche puis un scan rétinien puis un login vocal.
    - La deuxième connexion, le système demande une empreinte de l'index droit puis une empreinte palmaire gauche enfin un login/password clavier sans rapport avec le login vocal bien sur...
    - etc.
    Il faudrait vachement bien connaitre un utilisateur pour lui pirater son compte et lors d'une intrusion, les suspects seraient sur une liste vraiment courte: proches, amis, maitresse,...

    C'est ce qui fait que je porte des gants, n'ai pas d'amis, ni de maitresse et je reste à bonne distance de mes collègues...
    Parano, moi?!?! Non pourquoi vous dites cela? Qu'est-ce que vous me voulez? C'est le garde champêtre qui vous envoie, c'est ça?
    Mais bien sûr, le garde champêtre...

  9. #9
    Membre expérimenté
    Profil pro
    Inscrit en
    Juillet 2005
    Messages
    690
    Détails du profil
    Informations personnelles :
    Localisation : Réunion

    Informations forums :
    Inscription : Juillet 2005
    Messages : 690
    Points : 1 659
    Points
    1 659
    Par défaut
    Ils ont pensé que l'utilisateur pouvait avoir une personne derrière elle qui regarde les mouvements du curseur ?
    ce n'est pas pour induire en erreur un éventuel espion grâce aux mouvements de la souris, apparement c'est pour générer de l'entropie... je laisse le soin à d'autres plus calés que moi expliquer ce que c'est

    (d'apres ce que je crois savoir ca permettrais de crypter plus efficacement en générent des nombres aléatoires plus aléatoires)

  10. #10
    Membre éprouvé
    Avatar de kmdkaci
    Profil pro
    Inscrit en
    Octobre 2007
    Messages
    560
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Octobre 2007
    Messages : 560
    Points : 950
    Points
    950
    Par défaut
    romaintaz
    La méthode du clavier virtuel cliquable existe depuis pas mal de temps sur le site de la BNP.
    Franchement, c'est quoi cette idée ??
    A moins que j'aie pas bien saisi ta préoccupation, l'idée de la souris est efficace. Moi, j'étais surpris qu'elle ne soit pas intégré dans beaucoup de sites. Les hooks claviers et les remèdes existaient depuis longtemps. Mais les hooks souris, rarement les gens qui prennent ça en compte, et pourtant c'est aussi dangereux. Simuler et capturer les positions de la souris sur une interface qu'on connait déjà est une méthode "simple" pour déduire les mots de passes générés suite à des cliques. C'est pour cela que sur BNP, et afin d'éviter les hooks claviers, il ont mis en place un carrée avec les chiffres pour générer les mots de passes en cliquant, mais la particularité, c'est que les postions des chiffres différent d'une session à une autre.

  11. #11
    Rédacteur/Modérateur


    Homme Profil pro
    Formateur et développeur chez EXCELLEZ.net
    Inscrit en
    Novembre 2003
    Messages
    19 129
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 57
    Localisation : Belgique

    Informations professionnelles :
    Activité : Formateur et développeur chez EXCELLEZ.net
    Secteur : Enseignement

    Informations forums :
    Inscription : Novembre 2003
    Messages : 19 129
    Points : 55 942
    Points
    55 942
    Billets dans le blog
    131
    Par défaut
    Salut.

    Moi, j'ai deux banques ($$$$), et deux systèmes d'identification.

    DeltaLloyd: A la connexion, je dois introduire un code de dix signes (mémorisable via un fichier .key et qui peut s'afficher automatiquement. Si différent du fichier .key => dehors). Je reçois, à chaque connexion, une série de huit chiffres. Je dois alors introduire ma carte de banque dans un lecteur, saisir mon code à 4 chiffres, puis le code à huit chiffres. Le lecteur me calcule un code à huit huit chiffres que je dois saisir sur le site pour entrer... Le lecteur n'est pas individuel et je peux utiliser n'importe quel lecteur du même type. Mais comme il faut le fichier .key, le code de la carte et la carte, le risque est limité.

    Record (ING): Pas de carte, mais un petit appareil dans lequel je dois saisir un code à 4 chiffres. A la connexion, je dois introduire un code à 10 chiffres non mémorisable (pas de cookies) reçu à l'ouverture du compte, puis je dois saisir mon code à 4 chiffres sur l'appareil externe, qui me renvoie un code à six chiffres que je saisis lors du login... L'appareil externe est personnel et je ne peux donc utiliser que le mien.Cela m'a l'air assez fiable aussi.

  12. #12
    Expert éminent sénior
    Avatar de Skyounet
    Homme Profil pro
    Software Engineer
    Inscrit en
    Mars 2005
    Messages
    6 380
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Software Engineer
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mars 2005
    Messages : 6 380
    Points : 13 380
    Points
    13 380
    Par défaut
    Ben moi sur le site de ma banque (RBC Banque Royale) y'a rien de tout ça.

    Je mets mon login et mon mot de passe.

    Si je n'ai pas spécifié la machine comme étant sure alors ça me demande une question secrète parmi les 3 que j'ai défini à l'ouverture du compte.

    Niveau secure on a vu mieux... Du coup je m'y connecte que de chez moi.

    Sur mon autre banque (Crédit Agricole) je dois taper mon numéro de compte ainsi qu'un code avec le clavier numérique virtuel aléatoire cliquable.

    Jamais eu de truc de carte à puce transcodé avec mon ADN

  13. #13
    Membre régulier
    Profil pro
    Inscrit en
    Octobre 2009
    Messages
    68
    Détails du profil
    Informations personnelles :
    Âge : 44
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Octobre 2009
    Messages : 68
    Points : 97
    Points
    97
    Par défaut
    Il n'y a pas de système de sécurité sur à 100%....

    Le coup du clavier virtuel, de bouger la souris, etc... sont selon moi des artifices plus dangereux que sûre. La meilleur sécurité est bien souvent la simplicité. Leur système de clavier virtuel & co sont certainement bourré de failles et de bugs.....

    Je pense qu'à l'heure actuelle les meilleurs solutions sont les tokens d'authentification forte. (Les espèces de calculettes qui sorte un nombre différent à chaque fois).

    Ensuite la sécurité doit aussi être adapté à l'usage.... Consultation seulement, consultation + virement, etc....

  14. #14
    Membre éprouvé

    Inscrit en
    Janvier 2009
    Messages
    467
    Détails du profil
    Informations forums :
    Inscription : Janvier 2009
    Messages : 467
    Points : 1 253
    Points
    1 253
    Billets dans le blog
    2
    Par défaut
    Citation Envoyé par openaccess Voir le message
    Ensuite la sécurité doit aussi être adapté à l'usage.... Consultation seulement, consultation + virement, etc....
    Ça c'est un bon point :

    Il me semble que beaucoup de banques qui ne disposent pas d'une autenfication très forte, ne permettent pas d'ajouter n'importe quel compte pour faire un virement.
    Il y a validation par courrier ou SMS

  15. #15
    Rédacteur
    Avatar de pcaboche
    Homme Profil pro
    Inscrit en
    Octobre 2005
    Messages
    2 785
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : Singapour

    Informations forums :
    Inscription : Octobre 2005
    Messages : 2 785
    Points : 9 716
    Points
    9 716
    Par défaut
    Citation Envoyé par Sylvaner Voir le message
    A quand la danse de St Guy nu devant la webcam en chantant Annie Cordy pour nous identifier ?
    Avec la vidéo automatiquement uploadée sur YouTube, ça pourrait être marrant...

  16. #16
    Membre confirmé Avatar de toomsounet
    Profil pro
    Inscrit en
    Janvier 2005
    Messages
    481
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Janvier 2005
    Messages : 481
    Points : 576
    Points
    576
    Par défaut
    Citation Envoyé par jmini Voir le message
    Bref les suisses ne plaisantent pas avec le secret bancaire.
    Tu m'etonnes John

  17. #17
    Membre confirmé

    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Août 2007
    Messages
    509
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux

    Informations forums :
    Inscription : Août 2007
    Messages : 509
    Points : 622
    Points
    622
    Par défaut
    Citation Envoyé par romaintaz Voir le message
    La méthode du clavier virtuel cliquable existe depuis pas mal de temps sur le site de la BNP.
    Franchement, c'est quoi cette idée ??
    Ils ont pensé que l'utilisateur pouvait avoir une personne derrière elle qui regarde les mouvements du curseur ? Genre dans un cyber café, au boulot, etc...

    Je trouve ça plutôt ridicule comme solution !
    Ils ont fait la meme chose avec le site du CRédit Agricole et je leur ai meme envoyé un mail pour leur dire que cette méthode n'était pas fiable pour les raisons que t'a évoquées. .
    Rien n'a été fait

  18. #18
    Expert éminent
    Avatar de pmithrandir
    Homme Profil pro
    Responsable d'équipe développement
    Inscrit en
    Mai 2004
    Messages
    2 419
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Responsable d'équipe développement
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2004
    Messages : 2 419
    Points : 7 298
    Points
    7 298
    Par défaut
    Sur le site de la poste, 2 sécurité sont mise en place :
    - Le clavier virtuel ou l'on ne clique pas(on reste juste un peu plus longtemps sur la "touche" que l'on veut cliqué)
    - le fait qu'on ne puisse RIEN faire de critique. Pour faire un virement, il faut avoir préalablement demander un ajout du compte destination par courrier, et je crois que certains comptes ne sont pas autorisé(hors Europe...)

    Sur HSBC, il demande à chaque fois des lettres différentes de ton mot de passe.
    Exemple pour un mdp : coucou36
    il vous dit : aujourd'hui, veuillez tapé le 3ème, 6ème et 8ème caractère.

    Donc si quelqu'un log, il lui faut plusieurs accès pour avoir le mot de passe complet.
    Je verrai donc bien un mélange des techniques de la poste, (clavier virtuel) et de celle d'HSBC.

    Pour la souris qui bouge, je pensais bêtement que c'était pour éviter que la manipulation soit faite par un script

  19. #19
    Membre du Club
    Inscrit en
    Mars 2006
    Messages
    29
    Détails du profil
    Informations forums :
    Inscription : Mars 2006
    Messages : 29
    Points : 52
    Points
    52
    Par défaut
    Personnellement pour mes applications de "Cloud", j'ai une carte de crédit avec une matrice de 8 colonnes sur 8 lignes, chaque groupe est composé de 4 chiffres, quand on fait login, l'application va demander aleatoirement 3 chiffres qu'il faut inséreren plus de username et mot de passe, si la combinaison ne fonctionne pas, il refuse.

  20. #20
    Futur Membre du Club
    Inscrit en
    Décembre 2009
    Messages
    3
    Détails du profil
    Informations forums :
    Inscription : Décembre 2009
    Messages : 3
    Points : 6
    Points
    6
    Par défaut
    Pour info, le mode d'authentification avec la petite calculette dans laquelle on met une carte bancaire s'appelle EMV CAP.
    Les lecteurs sont en théorie interopérables, mais ce n'est pas garanti en pratique.

    C'est actuellement un des moyens les plus sécurisés. Il permet de s'assurer que l'utilisateur dispose de la carte bancaire ET du code PIN associé.

    L'OTP (One Time Password) généré dépend du compteur de transactions présent au sein de la carte à puce.

Discussions similaires

  1. Comment créer facilement son site Internet eCommerce ?
    Par Slam7 dans le forum E-Commerce
    Réponses: 8
    Dernier message: 16/11/2011, 16h33
  2. Réponses: 1
    Dernier message: 15/04/2010, 11h47
  3. comment et ou héberger site internet
    Par fanette dans le forum Hébergement
    Réponses: 1
    Dernier message: 20/10/2008, 10h50
  4. [Sécurité] Sécuriser efficacement un site
    Par gloubi dans le forum Langage
    Réponses: 10
    Dernier message: 06/01/2007, 09h29
  5. Comment sécuriser d'anciens sites developpés en php
    Par youpii dans le forum Sécurité
    Réponses: 3
    Dernier message: 03/01/2007, 15h32

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo