Une étude récente de l’Université du Michigan montre que 75% des banques en lignes ne sont pas vraiment au point question sécurité. L’étude passe à la loupe 214 banques en ligne en mettant à rudes épreuves leurs systèmes de protection des données. Aucunes d’entre elles ne montre de soucis de sécurité énormes, mais beaucoup laissent une marge de manœuvre non négligeable aux hackers, l’accès au mot de passe et nom d’utilisateur étant assez facile. Voici quelques une des défaillances que l’étude a relevée.
Une insécurité du système d’identification
Pour presque la moitié des établissements étudiés, les système d’identification existent mais ils se trouvent sur des pages non sécurisées. Une faille dans l’utilisation du SSL et les possibilités d’interception des détails des identifications de clients deviennent alors nombreuses. L’étude note que beaucoup de ces établissements bancaires en ligne sécurisent un certain nombre de pages dont ne fait malheureusement pas partie celle de l’identification.
Les coordonnées des centres d’appels affichés sur des pages non sécurisées
Ceci est le défaut principal relevé sur les établissement de l’étude : 55% d’entre eux ont raté ce test. Une attaque simple pourrait modifier le numéro de téléphone du centre d’appel afin de récupérer insidieusement les noms d’utilisateurs et mots de passes de clients.
Une redirection vers un site extérieur à la banque
Quand les utilisateurs passent à un troisième type de service (paiement de facture…) la banque ne leur stipule pas le changement. Le client n’a aucun moyen de savoir s’il est sur un site sécurisé ou non, rattaché à la banque ou non.
L’utilisation des numéros de sécurité sociale ou des adresses mail comme identifiant
Ce sont des renseignements très simples et faciles à trouver, surtout une adresse mail. Les banques devraient autoriser leurs clients à utiliser des identifiants personnalisés. De même elles devraient adopter une politique stricte concernant les mots de passes, cela pourrait éviter les mots de passe trop enfantins. Cependant 28% des établissements testés n’avaient rien fait dans ce domaine.
Envoyer par mail des informations sensibles
Des informations comme des mots de passe et des relevés de compte devraient être envoyés de façon sûre. Les mots de passes ne devraient pas être envoyés en entier. Sur ce test 31% des banques testées ont échoué.
Vous pouvez retrouver ici l’étude complète (10 pages en anglais sous format PDF). Les sites ayant manqué les tests n’y figurent pas. Remarquez aussi que l’étude date de 2006 et qu’elle n’est publiée qu’aujourd’hui, donc les choses ont pu s’améliorer depuis.