categorie La sécurité selons les institutions financières

S
uivant un article de La Presse sur la cybercriminalité, quelques réflexions me sont vénus à l'esprit. L'auteur parle d'améliorations faits par les institutions financières pour améliorer leur sécurité contre l'hameçonnage et qui prend de plus en plus d'ampleur.

L'exemple donné par l'article est le cas du Mouvement Desjardins qui permet au client de choisir une phrase et une image personnalisée, ce qui rend plus difficile la copie du site lui-même pour prendre du poisson. Bien d'autres institutions l'ont fait bien avant, ING étant un exemple. Aussi, cette pratique n'est pas aussi sécuritaire qu'on le pense. Bien des gens ne tiennent pas compte de leur image qu'ils ont choisi et s'il ne présentent pas cette image sur un ordinateur connu, tel que mentionné dans le texte, alors le site d'hameçonnage n'a qu'a ne pas la présenter également.

Mais aussi, cette méthode ne peut pas contrer d'autres méthodes tels que la « capture de touches » communément appelé keylogging.

Une meiClé de sécurité ou security keylleure technique aurait été d'utiliser une clé de sécurité. Ces bidules électroniques affichent une série de chiffres que l'utilisateur doit accoler au mot de passe à l'entrée du site. Ces chiffres paraissent véritablement issus du hasard, mais il sont prévisibles que par la clé et par l'institution. Impossible pour un pirate de deviner les prochaines séquences et surtout qu'elles peuvent changer à tous les 30 secondes. Il s'agit donc d'une cible en constant mouvement, impossible à atteindre avec des techniques de force brute (brute force attack).

Plusieurs autres entreprises utilise cette technologie : RSA, Verisign, Paypal, etc. Par exemple, Paypal permet d'acheter une clé de sécurité pour 5 dollars. Ils subventionnent le bidule, puisque c'est plus dispendieux en réalité, mais ils y gagnent parce que cette technique aide vraiment à limiter les fraudes.

Les institutions financières, si elles le voulaient vraiment, pourraient avoir de bien meilleures mesures de sécurité. Juste une idée comme ça : pourquoi pas, quand les cartes bancaires, cartes de guichet/Interac auront des puces, ne pas inclure aussi un affichage d'une série de chiffre qu'on collera au NIP que nous connaissons ? Sera utile lors des transactions par guichet, en magasin, sur Internet ou même via notre téléphone portable.

Image © Verisign.

Publié par elbaid le 31 juillet 2008 12:45

Commentaires
Aucun commentaire pour ce billet.

Ajouter un commentaire
Seuls les éléments en italique (<i></i>), en gras (<b></b>) et soulignés (<u></u>) sont acceptés.
Nom / Pseudo

Courriel (facultatif)

Adresse de votre site web (facultatif)

Commentaire

Captcha (Plus d'information)
captcha
Se rappeller du nom, courriel et l'adresse du site web. Plus d'information.
  
categorie archives
Année 2008
Année 2007
Année 2006
Année 2005

Syndication RSS
Top Blogues
Tout le monde en blogue
Personal Blogs - Blog Top Sites
Valid XHTML 1.0
   Espaceàlouer.org (6.6.80320.1) développé et maintenu par elbaid. Copyright 2002-2008. Conditions d'utilisation.