Les sites Internet des banques comptent parmi les premières cibles des pirates. Chacune cherche donc la parade. Deux banques s’apprêtent à tester des solutions originales pour mieux protéger leurs clients. Point commun : ne plus demander à l’internaute ses identifiants dans le navigateur, mais recourir à un dispositif extérieur.En mai prochain, le Crédit agricole proposera ainsi à ses clients professionnels la carte Tooal (prononcez toile), un CD-Rom en forme de carte bancaire, doté d’un logiciel d’authentification crypté. Ainsi, lorsqu’un client de la banque voudra accéder à son compte en ligne, il insérera le CD-Rom dans son lecteur. Un menu lui demandera d’entrer son mot de passe sur un clavier virtuel, opération vérifiée par la carte Tooal. Le Crédit agricole ne donne pas de précision quant à une possible mise à disposition pour le grand public de ce système développé par Mediscs, une jeune entreprise de Montpellier.
Bretelles et ceinture
La banque britannique Barclays a choisi, elle, une identification alliant une carte bancaire à puce à un lecteur. Outre-Manche, 500 000 de ses clients devraient recevoir leur lecteur d’ici à la fin de l’année. Le système ne sera nécessaire que pour effectuer des virements vers un compte extérieur pour la première fois.‘ L’une des bonnes stratégies est de ne pas utiliser le même système que les autres banques, explique Nicolas Woirhaye, directeur de la cellule CERT-Lexsi de la société Lexsi, spécialisée en audit de sécurité. Le système du Crédit agricole est très original de ce point de vue. ‘Pour parer au vol des mots de passe et des identifiants, la plupart des banques françaises ont mis en place des claviers virtuels sur lesquels l’internaute entre son mot de passe. ‘ Mais seules la BNP et la Société générale ont pensé à crypter l’envoi des données depuis le clavier virtuel et le navigateur ‘, regrette Nicolas Woirhaye.‘ Une autre solution, mise en place par la Caisse d’épargne, combine site Web et téléphone mobile, poursuit-il. C’est très efficace. ‘ L’internaute se connecte au site de la banque et donne son numéro de téléphone mobile. Il est alors rappelé par un automate qui lui demande son mot de passe, à composer sur le téléphone lui-même.Néanmoins, conclut Nicolas Woirhaye, ‘ tant que les banques permettront les virements en ligne, les attaques de pirates continueront. Et les banques nont pas la capacité de réagir assez vite ‘
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.