Banques et phishing > "Carte à puce et trusted computing : l'avenir est là"

Nicolas Fischbach
Co-fondateur
Sécurité.Org
 En savoir plus

Menu

Sommaire

Fabrice Prugnaud

Nicolas Fischbach

Hervé Schauer

Joachim Krause

En savoir plus

En Suisse, au moins trois grandes banques utilisent depuis des années des mécanismes d'authentification "forte" : carte SecurID, carte à puce avec un lecteur "autonome" et carte à puce avec un lecteur à brancher sur son PC. Leur prédécesseur - la liste à barrer - a quasiment disparu. De ce coté là, je pense que la Suisse est relativement en avance sur la majorité des autres pays, y compris la France.

L'éducation du client est importante, mais force est de constater que certains phishing dépassent souvent la réalité et il est presque impossible, même pour un utilisateur averti, de découvrir la supercherie, tout particulièrement lorsque le site de la banque facilite l'attaque. De nombreux mécanismes d'authentification forte peuvent encore être contournés si l'attaquant se place "entre" la banque et son client, soit par interception des éléments d'authentification, soit par vol de session.

A partir du moment où l'attaquant arrive à déployer du code sur le système de l'utilisateur, presque tous les moyens de protections seront contournables. De rajouter des fonctions "anti-phishing" dans les navigateurs est une chose - détection via des règles, interface graphique qui permet de "valider" le site, etc. - mais l'utilisateur suivra-t-il les recommandations et sera-t-il d'accord pour que chaque URL qu'il tape soit vérifiée auprès d'un serveur central qui contient une liste à jour des "mauvais" sites ?

La seule réponse semble résider dans des solutions qui combineraient, par exemple, carte à puce - pour le stockage du certificat - et "trusted computing". L'avenir est là, mais l'aspect coût n'est pas négligeable, ni le risque de rejet de TPM par l'utilisateur qui veut rester maître de son PC.

Pour l'instant j'ai l'impression que, dans bon nombre de pays, les banques se limitent au minimum. Le vol d'informations de connexion qui engendre le vol d'identité et/ou d'informations financières sur la personne ne peut se limiter que par des mécanismes d'authentification forte, ce qui reste coûteux.

Par contre, limiter les risques de transactions financières frauduleuses via un mécanisme de validation hors bande / externe - par exemple par SMS - me semble relativement réaliste. En résumé, il en reste encore du chemin à parcourir...