Face aux pirates, les banques cherchent la parades

Les sites Internet des banques comptent évidemment parmi les premières cibles des pirates. Chacune d'entre elles cherche donc la parade au phishing et aux malwares, tels que les chevaux de Troie ou les virus. Et, pour être efficace, il s'agit de faire preuve d'imagination. Deux banques s'apprêtent ainsi à tester des solutions originales pour mieux protéger leurs clients. Point commun : ne plus demander à l'internaute ses identifiants dans le navigateur mais recourir à un dispositif extérieur.

En mai prochain, le Crédit agricole proposera ainsi à ses clients professionnels (entreprises, commerçants, etc.) la carte Tooal (prononcez toile), qui n'est autre qu'un CD-Rom, sous la forme d'une carte bancaire, doté d'un logiciel d'authentification crypté. Ainsi, lorsqu'un client de la banque veut accéder à son compte en ligne, il insère le CD-Rom dans son lecteur. Puis, un menu apparaît lui demandant de saisir son mot de passe sur un clavier virtuel, opération vérifiée par la carte Tooal. Il est ensuite automatiquement connecté à ses comptes bancaires.

Ce système a été développé par une jeune entreprise française, Mediscs, installée à Montpellier. Le Crédit agricole ne donne pas de précision pour le moment sur une possible mise à disposition pour ses clients grand public.

La banque britannique Barclays a choisi, elle, une identification alliant une carte bancaire à puce à un lecteur. Outre-Manche, 500 000 de ses clients devraient recevoir leur lecteur d'ici à la fin de l'année (voir photo). Le système ne sera nécessaire que pour effectuer des virements vers un compte extérieur pour la première fois. Pour la simple consultation des comptes ou pour des virements internes, les clients de Barclays continueront d'utiliser la procédure actuelle, qui conjugue authentification en ligne avec confirmation par SMS.

La mise en place de telles nouveautés résulte bien sûr de la nécessité pour les banques d'innover sans cesse face aux dangers d'Internet. « L'une des bonnes stratégies est de ne pas utiliser le même système que les autres banques, explique Nicolas Woirhaye, directeur de la cellule CERT-Lexsi de la société Lexsi, spécialisée en audit de sécurité. Le système du Crédit agricole est très original de ce point de vue. ».

Pour parer au vol des mots de passe et des identifiants, la plupart des banques françaises ont mis en place des claviers virtuels : l'internaute y saisit son mot de passe en cliquant sur des images qui font office de touches d'un clavier. « Mais tous les établissements n'ont pas pensé à crypter ensuite l'envoi des données depuis le clavier virtuel et le navigateur, regrette Nicolas Woirhaye. Seules la BNP et la Société générale l'ont fait. »

« Une autre solution, mise en place par la Caisse d'épargne, combine site Web et téléphone mobile, poursuit-il. C'est très efficace. » L'internaute se connecte au site de la banque et donne son numéro de téléphone mobile. Il est alors rappelé par un automate qui lui demande son mot de passe, à composer sur le téléphone lui-même.

Néanmoins, conclut Nicolas Woirhaye, « tant que les banques permettront les virements en ligne, les attaques de pirates continueront. Et les banques n'ont pas la capacité de réagir assez vite ».