• première mise en ligne le 26 avril 2016

En 2016 l'actualité fourmille de nouvelles fracassantes faisant état de fuites (les célèbres leaks), de fraudes, de tentatives d'escroqueries qui étaient confidentielles hier mais se sont pour ainsi dire délocratisées aujourd'hui. Dans un contexte par ailleurs de plus en plus sécuritaire, on voit les services informatiques mettre les bouchées double pour sécuriser les accès, et d'autant plus que ceux accès protègent des informations ou des intranets sensibles, comme par exemple ceux des banques.

Quoi de plus sensible en effet que l'accès à l'interface client de ma banque ? Mes revenus, mes économies, mon assurance vie, mes maigres plans d'épargne sont détenus par elle, et j'ai besoin d'avoir toute confiance en sa capacité à les protéger, à défaut d'avoir confiance dans la banque elle-même.

C'est donc avec une relative satisfaction que j'ai vu des mesures de vérification de plus en plus poussées se mettre en place lors de la validation de mes paiements par carte bancaire, et j'ai accueilli de même la limitation des accès à certains services par téléphone, ou par mail. Dans ma banque habituelle, malgré les scandales qu'elle essuie parfois dans les media, la sécurité des clients ne semble pas être prise trop à la légère, et à présent à peu près tout ce qui est susceptible d'avoir un impact sur la sécurité de mes sous doit passer soit par un écrit signé (qui donne lieu à un coup de fil de vérification de ma conseillère) soit par l'interface web sécurisée en https avec le fameux cadenas vert, qui fait référence au top niveau de confiance existant actuellement pour un certificat de chiffrement TLS.

Hélas ce n'est pas le cas partout, et j'ai récemment cédé aux sirènes d'une banque, et au taux de rémunération promotionnel qu'elle mettant en avant pour faire fructifier un peu mes petites économies. Quelques chiffres sont donc allés voyager un temps chez ING Direct, histoire de prendre un peu le soleil et revenir avec une meilleure mine.

Mais voilà qu'un projet intéressant nécessite soudain que je ramène à moi une partie de ces économies. Qu'à cela ne tienne, je me connecte sur le site de la banque à la com' toute en orange et j'imprime le formulaire proposé pour réaliser l'ajout d'un RIB externe dans mon interface. Je joins une copie dudit RIB, et zou, par la poste. Quelques jours plus tard je reçois un SMS qui me demande d'appeler un numéro gratuit (0800 464 464) pour valider le nouveau RIB.

Quelle n'est pas ma surprise lorsque, après m'avoir demandé de composer mon identifiant, le serveur vocal me demande de saisir mon code secret. Ma mâchoire se décroche et après un court laps de sidération, je regarde bêtement mon smartphone en me demandant si, sans penser à commercialiser un service aussi précieux ou simplement à m'en avertir, mon opérateur téléphonique aurait activé un service de chiffrement de bout en bout de mes communications pour sécuriser mes appels… Mais je reprends mes esprits : NON, un appel téléphonique comme celui-ci n'est aucunement sécurisé, n'importe quel quidam avec deux pinces croco pourrait être en train d'écouter ma conversation avec mon opérateur, et enregistrer au passage le code secret que ING Direct est naïvement en train de me demander de divulguer. Pas de cadenas vert sur le téléphone, ni gris. Pas la moindre mise en garde non plus de la part de ma banque qui me rend responsable de la sécurité de la protection de mes codes.

Et ça n'est pas une erreur. Je raccroche et je rappelle pour passer par un opérateur. Après avoir collecté quelques informations perso dont mon identifiant, la dame annonce qu'elle va me mettre en relation de nouveau avec le serveur vocal pour la saisie de mon code. J'ai beau répondre qu'il n'en est pas question et qu'elle doit trouver un moyen sécurisé rien n'y fait : c'est comme ça qu'on procède chez ING Direct et il n'y aurait pas d'autre moyen. On n'a jamais eu de plainte à ce sujet paraît-il !? Mais relisez donc votre propre site : « Ne divulguez jamais vos données d’authentification (code secret, code de carte bancaire) à un tiers, même à un chargé de clientèle ING Direct » !

On n'est pas à une contradiction près chez ING Direct dont la FAQ sécurité explique le risque de hameçonnage et insiste : « jamais une banque ne vous demandera votre code secret ou vos données personnelles ailleurs que dans vos espace client! » – c'est clair en tout cas jamais une autre banque ne le fera, du moins elle n'a pas intérêt.

Finalement j'ai changé mon code temporairement pour pouvoir passer la barrière du serveur vocal et valider ce RIB, obligé de compromettre ainsi moi-même, le temps de cette opération, la sécurité de mes économies. Ce n'est certainement pas quelque chose que je suis disposé à faire régulièrement. Ensuite naturellement j'ai changé de nouveau le code secret par un troisième dont la confidentialité n'aura pas été ainsi compromise. J'écris de ce pas à la banque via l'adresse qu'elle propose pour avertir d'un problème de sécurité, et si une réponse me parvient je ferai une mise à jour de l'article. En attendant cette situation me glace le sang, et il ne faudra pas longtemps pour que j'envoie mes petits chiffres améliorer leur teint sur une plage où la sécurité ne date pas du siècle dernier.

Pour conclure j'ai envie de citer ce petit extrait de l'édition 5 (novembre 2004) de la Revue de la Stabilité Financière éditée par la Banque de France :

« Tant l’instrument de paiement lui-même que les dispositifs techniques et organisationnels destinés au traitement des ordres doivent être suffisamment protégés contre les détournements frauduleux. Ce risque est particulièrement fort si l’instrument et le dispositif de traitement des ordres sont informatisés, puisque la sécurité technique des moyens de paiement est alors directement dépendante de celle des environnements informatiques mis en œuvre. Le caractère évolutif des technologies de l’information induit de nouvelles menaces en raison de la sophistication des techniques d’attaque et du développement des vecteurs de propagation de ces attaques. Face à de telles menaces, une réactivité permanente revêt donc la plus haute importance. »

Dites chez ING Direct, l'obligation de moyens ça vous dit quelque chose ?