Alors que le montant des fraudes sur les sites de banque en ligne britanniques auraient représenté 14,5 millions de livres (ndlr : près de 22 millions d'euros) au premier semestre 2005, selon l'association britannique des paiements (APACS), les résultats d'un récent audit effectué par la CNIL ont de quoi surprendre.
Ainsi, trois banques en ligne françaises sur dix ne disposeraient pas de mécanismes de protection suffisants. Et quatre d'entre elles ne proposeraient pas de transaction sécurisée (protocole https) lors de l'échange du couple identifiant / mot de passe.
Les établissements bancaires - comme la plupart des sites marchands en ligne -, doivent veiller à mettre en uvre deux dispositifs complémentaires : d'une part la sécurisation de leurs infrastructures réseaux et de leur serveur Web, d'autre part les accès aux comptes bancaires des utilisateurs.
Même si, prévient Nicolas Woirhaye, en charge de la lutte contre la cybercriminalité au sein du cabinet Lexsi, "ce sont avant tout les sites de banque en ligne qui font l'objet d'attaques, plus que le système d'information de la banque en elle-même".
'La sécurisation d'un SI bancaire nécessite une architecture
en strates qui cloisonne et crée une défense en
profondeur", signale de son côté Hervé Schauer, à la tête du cabinet HSC, spécialisé en sécurité informatique.
"Les logiciels utilisés sont en général Apache ou parfois Zeus en frontal comme
serveur Web, ou relais HTTP en reverse-proxy sur des plates-formes
Linux ou Solaris, alors que la supervision idéale sera faite sur un réseau distinct dédié à cette
tâche, et cloisonné, afin de limiter les risques d'intrusions", ajoute Hervé Schauer.
La seule mise en place d'infrastructures sécurisées ne suffit pas |
Mais la seule mise en place d'infrastructures sécurisées ne suffit pas, car encore faut-il s'assurer de leur intégrité. "Des audits comprenant - entre autres - des tests de montée en charge
sont régulièrement effectués. Des outils de détection des fraudes et des techniques de scoring sont également utilisées", constate Laurent Treillard, consultant en sécurité des systèmes d'information chez Ageris Consulting, bureau d'études spécialisé.
"Nous faisons réaliser par une société externe un audit des applications et des services destinés au client et faisons procéder à une vérification de l'intégrité de l'ensemble de nos systèmes de sécurité. Par ailleurs, des tests d'intrusion sont menés par une équipe interne d'experts, épaulée par des correspondants sécurité présents au niveau régional", annonce
Jean-Luc Jacob, responsable de la direction des nouveaux médias du Crédit Mutuel Nord Europe.
Le renforcement de la sécurisation des sites bancaires en ligne se fait cependant attendre (lire l'article du 17/03/2005). A ce jour, le Crédit Mutuel reste en effet l'un des rares acteurs bancaires à avoir instauré un système d'authentification forte.
"L'équipement systématique des clients en cartes d'identification renforcées, avec génération de codes aléatoires pour les particuliers, vient s'ajouter aux modalités d'identification statiques du couple identifiant / mot de passe", poursuit Jean-Luc Jacob. S'assurer que l'utilisateur qui accède à des comptes bancaires via Internet en est bien le titulaire demeure une préoccupation de tous les instants pour ces établissements.
"Les acteurs bancaires et les sites de commerce en ligne doivent se regrouper sur la problématique et mettre en place un système commun d'authentification forte le plus rapidement possible", alerte Nicolas Woirhaye (Lexsi).
Si la sécurisation des sites de banques en ligne est loin d'être homogène, un indispensable devoir de pédagogie doit être effectué en direction des clients finaux et des utilisateurs des services bancaires en ligne.
"Nous nous efforçons autant que possible de sensibiliser nos équipes
de vente en interne aux phénomène de phishing, car ce sont elles qui vont être les premiers relais auprès de nos clients et pourront
répondre à leurs craintes ou interrogations vis-à-vis de ces nouvelles menaces", conclut Jean-Luc Jacob.
|