IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Comment sécuriser le site Internet d'une banque ?
Les mouvements de souris continus et les mots de passe à cliquer suffisent-ils ?

Le , par Katleen Erna
40 commentaires

5PARTAGES

1  0 
Comment sécuriser efficacement le site Internet d'une banque ? Les mouvements de souris continus et les mots de passe à cliquer suffisent-ils ?

Certaines banques en ligne proposent diverses méthodes pour garantir à leurs clients une sécurisation optimale de leurs opérations.

CIB Bank, une banque hongroise, propose ainsi une application pour les transferts de fonds qui demande à son utiliateur de continuer à bouger sa souris tout le long de la procédure, afin d'en garantir la sécurité.



Certains programmeurs restent sceptiques quant à la fiabilité de telles méthodes.

Selon certains d'entre eux, remuer la souris générerait une entropie (quantité d'information contenue ou délivrée par une source d'information) permettant de favoriser le transfert sécurisé de données cryptées.

D'autres répondent que sur la toile, aucun échange n'est sécurisé, souris en mouvement ou pas. Ils soulignent le recours à des keyloggers et autres malwares contre lesquels cette technique est totalement inéficace.

Certaines banques, comme ING-Direct, proposent d'ailleurs de saisir son code PIN via un clavier virtuel à cliquer avec sa souris, afin d'éviter le vol de mots de passe par espionnage des frappes du clavier. Mais une localisation des pixels cliqués est toujours possible. Certains trojans seraient de plus capables de mémoriser les clics, et de prendre des screenshots.

Les risques s'accroissent encore plus lorsque les clients consultent leurs comptes via un cybercafé, dont les machines sont souvent des nids à malwares.

D'autres professionnels de l'informatique de remarquer qu'actuellement, les botnets sont plutôt sous-utilisés et cantonnés à certaines tâches ingrates comme le spam. Mais si ils étaient pleinement exploités, ils pourraient scanner le net à la recherche de mots de passe et d'informations bancaires...

D'où vient le plus grand danger, de l'ordinateur de l'usager ou bien d'un site compromis ?

Quel est le plus difficile : voler un numéro de carte bancaire ou bien l'utiliser ?

Les mesures citées plus haut vous paraissent-elles suffisantes pour garantir la sécurité des transactions financières en ligne ? EN auriez-vous d'autres à proposer ?
Vous avez lu gratuitement 806 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

40 commentaires
Commenter Signaler un problème
romaintaz
Avatar de romaintaz
Rédacteur https://www.developpez.com
Le 16/12/2009 à 16:46
La méthode du clavier virtuel cliquable existe depuis pas mal de temps sur le site de la BNP.
Franchement, c'est quoi cette idée ??
Ils ont pensé que l'utilisateur pouvait avoir une personne derrière elle qui regarde les mouvements du curseur ? Genre dans un cyber café, au boulot, etc...

Je trouve ça plutôt ridicule comme solution !
1  0 
Federico_muy_bien
Avatar de Federico_muy_bien
Membre habitué https://www.developpez.com
Le 16/12/2009 à 16:50
Sur la societe generale il y a le clavier virtuel. De plus celui ci se place à un endroit aléatoire de l'ecran à chaque fois ! Donc la technique de localisation dess pixels passe à la trappe. Aprés il y a surement d'autres moyens de se faire avoir ...
1  0 
chemanel
Avatar de chemanel
Membre confirmé https://www.developpez.com
Le 16/12/2009 à 16:52
Citation Envoyé par romaintaz Voir le message
La méthode du clavier virtuel cliquable existe depuis pas mal de temps sur le site de la BNP.
Franchement, c'est quoi cette idée ??
Ils ont pensé que l'utilisateur pouvait avoir une personne derrière elle qui regarde les mouvements du curseur ? Genre dans un cyber café, au boulot, etc...

Je trouve ça plutôt ridicule comme solution !
Tu accèdes a ton homebanking dans un cybercafé toi? ^^
1  0 
Sylvaner
Avatar de Sylvaner
Membre éprouvé https://www.developpez.com
Le 16/12/2009 à 16:56
Chez la poste le clavier virtuel existe depuis longtemps et la position des chiffres change a chaque fois.

A quand la danse de St Guy nu devant la webcam en chantant Annie Cordy pour nous identifier ?
1  0 
jmini
Avatar de jmini
Membre éprouvé https://www.developpez.com
Le 16/12/2009 à 17:01
Regardez comment la sécurité est faite en Suisse (et j'ai un compte tout simple d'étudiant).

Il n'y a plus une banque qui fonctionne avec un simple login / password... Elles ont toutes un outil exterieur (du genre carte à puce à mettre dans une petite calculette, afficheur personalisé qui change toutes les 30 secondes synchronisé avec la banque...) Bref les suisses ne plaisantent pas avec le secret bancaire.

Ma banque en France m'envoie tous les deux ans un tableau comprenant 15 chiffres et m'en demande aléatoirement 3 à chaque login.

Concernant toutes les autres sécurités du type bouger sa souris ou clavier virtuel, je doute qu'elles apportent quelque chose en terme de non rejouabilité... Ca complique juste un petit peu la tache...

Quand à 3-D Secure combien de sites français l'utilisent et combien de banque française le propose avec autre chose que la date de naissance ?

.
1  0 
romaintaz
Avatar de romaintaz
Rédacteur https://www.developpez.com
Le 16/12/2009 à 17:20
Citation Envoyé par chemanel Voir le message
Tu accèdes a ton homebanking dans un cybercafé toi? ^^
Non, j'ai même jamais dû aller dans un cybercafé de ma vie Mais du boulot, oui, clairement.
1  0 
LooserBoy
Avatar de LooserBoy
Membre chevronné https://www.developpez.com
Le 16/12/2009 à 17:35
Citation Envoyé par Federico_muy_bien Voir le message
Sur la societe generale il y a le clavier virtuel. De plus celui ci se place à un endroit aléatoire de l'ecran à chaque fois ! Donc la technique de localisation dess pixels passe à la trappe. Aprés il y a surement d'autres moyens de se faire avoir ...
J'y suis en client.

Ah bon?!?! Capture l'ensemble de l'écran et le tour et joué.
De plus, la touche du clavier sélectionnée est entouré de rouge pour être sûr de pas te planter mais ça aide aussi à voir laquelle tu as cliqué.

Mon client utilise une calculette qui génère un code, pour authentifier l'utilisateur sur son outil de passage d'ordre. Le problème est que si tu te fais voler la calculette et ton login, le problème est le même...

Il y a des système d'identification par clé usb, je ne sais pas vraiment ce que ça vaut mais le problème est certainement le même...

En y pensant, je pense qu'une identification multiple avec biométrie et sélection aléatoire des contrôles à effectuer serait certainement un peu plus compliqué à trafiquer.
Je m'explique:
- La première connexion, le système demande une empreinte du pouce gauche puis un scan rétinien puis un login vocal.
- La deuxième connexion, le système demande une empreinte de l'index droit puis une empreinte palmaire gauche enfin un login/password clavier sans rapport avec le login vocal bien sur...
- etc.
Il faudrait vachement bien connaitre un utilisateur pour lui pirater son compte et lors d'une intrusion, les suspects seraient sur une liste vraiment courte: proches, amis, maitresse,...

C'est ce qui fait que je porte des gants, n'ai pas d'amis, ni de maitresse et je reste à bonne distance de mes collègues...
Parano, moi?!?! Non pourquoi vous dites cela? Qu'est-ce que vous me voulez? C'est le garde champêtre qui vous envoie, c'est ça?
Mais bien sûr, le garde champêtre...
1  0 
bombseb
Avatar de bombseb
Membre expérimenté https://www.developpez.com
Le 16/12/2009 à 17:41
Ils ont pensé que l'utilisateur pouvait avoir une personne derrière elle qui regarde les mouvements du curseur ?
ce n'est pas pour induire en erreur un éventuel espion grâce aux mouvements de la souris, apparement c'est pour générer de l'entropie... je laisse le soin à d'autres plus calés que moi expliquer ce que c'est

(d'apres ce que je crois savoir ca permettrais de crypter plus efficacement en générent des nombres aléatoires plus aléatoires)
1  0 
kmdkaci
Avatar de kmdkaci
Membre éprouvé https://www.developpez.com
Le 16/12/2009 à 17:44
romaintaz
La méthode du clavier virtuel cliquable existe depuis pas mal de temps sur le site de la BNP.
Franchement, c'est quoi cette idée ??
A moins que j'aie pas bien saisi ta préoccupation, l'idée de la souris est efficace. Moi, j'étais surpris qu'elle ne soit pas intégré dans beaucoup de sites. Les hooks claviers et les remèdes existaient depuis longtemps. Mais les hooks souris, rarement les gens qui prennent ça en compte, et pourtant c'est aussi dangereux. Simuler et capturer les positions de la souris sur une interface qu'on connait déjà est une méthode "simple" pour déduire les mots de passes générés suite à des cliques. C'est pour cela que sur BNP, et afin d'éviter les hooks claviers, il ont mis en place un carrée avec les chiffres pour générer les mots de passes en cliquant, mais la particularité, c'est que les postions des chiffres différent d'une session à une autre.
1  0 
Pierre Fauconnier
Avatar de Pierre Fauconnier
Rédacteur/Modérateur https://www.developpez.com
Le 16/12/2009 à 17:45
Salut.

Moi, j'ai deux banques ($$$$), et deux systèmes d'identification.

DeltaLloyd: A la connexion, je dois introduire un code de dix signes (mémorisable via un fichier .key et qui peut s'afficher automatiquement. Si différent du fichier .key => dehors). Je reçois, à chaque connexion, une série de huit chiffres. Je dois alors introduire ma carte de banque dans un lecteur, saisir mon code à 4 chiffres, puis le code à huit chiffres. Le lecteur me calcule un code à huit huit chiffres que je dois saisir sur le site pour entrer... Le lecteur n'est pas individuel et je peux utiliser n'importe quel lecteur du même type. Mais comme il faut le fichier .key, le code de la carte et la carte, le risque est limité.

Record (ING): Pas de carte, mais un petit appareil dans lequel je dois saisir un code à 4 chiffres. A la connexion, je dois introduire un code à 10 chiffres non mémorisable (pas de cookies) reçu à l'ouverture du compte, puis je dois saisir mon code à 4 chiffres sur l'appareil externe, qui me renvoie un code à six chiffres que je saisis lors du login... L'appareil externe est personnel et je ne peux donc utiliser que le mien.Cela m'a l'air assez fiable aussi.
1  0 
Commenter Signaler un problème