Sécurité : bonnet d'âne pour 3 banques en ligne sur 10

La sécurité n’est pas une mince affaire, surtout lorsque l'on manipule des données financières en sus de données nominatives. La CNIL s’est lancée ainsi dans une analyse d’une dizaine de banques françaises. Sous l’intitulé « opération audit de la banque en ligne », la commission présente donc dans un document les résultats, fruits de plusieurs contrôles effectués au premier semestre 2005.

Il s’agissait là de « vérifier le respect des dispositions de la loi dite Informatique et Libertés concernant les questions relatives à la sécurité et à la prospection commerciale ». En pratique, les contrôles ont été effectués via deux grilles d’audit de 64 questions au total.

Sur ces dix établissements, sept respectent « globalement » la confidentialité et la sécurité des données « même si des améliorations restent à prévoir ». Les constats font toutefois froid dans le dos. Citons :

• L'absence d'authentification forte et incontestable des clients internautes, par exemple par carte à puce ou clé électronique unique. Seuls les identifiants et mot de passe ouvrent les portes des banques en ligne ;


• Le mot de passe est rarement remis sous pli confidentiel ou envoyé en recommandé avec accusé de réception lorsqu’il est transmis par courrier postal. Il est souvent inférieur à 7 caractères alphanumériques et sa durée de validité est illimitée ;


• Pire : quatre banques en ligne ne sont pas en transaction sécurisée « https » lors de l’échange de l'identifiant et du mot de passe, moment pourtant important. Le mode sécurisé n’intervient en fait qu’après l’envoi de ces informations en clair sur le net

La CNIL note encore que dans le lot, peu de sites offrent la consultation d’un historique des dernières connexions ou la réception d’un accusé de réception des opérations effectuées, ce qui rend la traçabilité des opérations bien plus délicate. La quasi-totalité n’informe pas des mises à jour des règles de sécurité.

Elle recommande hautement que l’accès aux comptes en ligne soit bloqué en cas de code d’accès erroné saisi plus de trois fois, suivi d’une information de l’internaute. Elle doute que soit assurées, à la déconnexion de l’usager, la suppression des cookies et de toutes les traces diverses ainsi qu'une déconnexion automatique de tout abonné inactif au-delà de 10 minutes. Enfin, la CNIL regrette qu’actuellement le droit d’opposition à la prospection commerciale doive généralement s’exercer par l’envoi d’un courrier écrit à la banque, plutôt que par mail.

Les consommateurs pourront le regretter, mais aucune banque n’a été citée dans le rapport (pdf). Mais il appellera peut être à une réaction salvatrice des sociétés pointées du doigt.

Marc Rees le 1 décembre 2005 à 07:00 (29 474 lectures)

Tweeter

• 21 / 09 / 2005 : Mastercard accouple RFID et cartes de paiement
• 18 / 08 / 2005 : Deux nouvelles banques victimes de phishing
• 20 / 07 / 2005 : Les RFID s'implantent dans les banques
• 28 / 06 / 2005 : Un dispositif anti keylogger à la Société Générale
• 21 / 06 / 2005 : La Banque de France, à son tour cible de phishing
• 31 / 05 / 2005 : Quatre banques françaises, cibles de phishing
• 20 / 05 / 2005 : La carte bancaire est sûre, assure-t-on
• 21 / 03 / 2005 : Banques en ligne : cachez cet adware !

Actu Précédente Actu Suivante