fbpx
Chroniques, Techno, Topos

L’accès aux services bancaires en ligne est-il sécuritaire?

N’est-ce pas étrange que Google et Twitter m’incitent à utiliser une combinaison de lettres et de chiffres, des symboles, ainsi que des majuscules et minuscules, et au moins 8 à 10 caractères, alors que certaines banques se contentent de 6?

Les services bancaires en ligne sont pratiques et efficaces.  Vous pouvez payer toutes vos factures en ligne de votre ordinateur personnel à la maison.  Vous pouvez vérifier votre solde, télécharger vos états de compte et certaines institutions financières vous permettent de déposer un chèque en utilisant votre téléphone intelligent. Mais est-ce plus facile pour un cyber criminel de voler notre argent durement gagné?

Accéder à mon compte BMO ne requiert que quelques touches, pas de caractères spéciaux, pas de symboles.  Tangerine ne permet pas de mots de passe de plus de 6 caractères.  N’est-ce pas étrange donc que Google et Twitter m’incitent à utiliser une combinaison de lettres et de chiffres, des symboles, ainsi que des majuscules et minuscules, et au moins 8 à 10 caractères?

Je peux même établir une vérification à deux niveaux, qui exige que je m’authentifie avec mon mot de passe habituel et que j’utilise un deuxième mot de passe unique qui m’est envoyé sur mon téléphone intelligent.

Sécurité VS perte

Dans un article de Matthew Braga dans le Globe and Mail en avril dernier, David Skillicorn, professeur à l’école d’informatique de l’université Queen’s déclarait que : « Les banques font un compromis sophistiqué au niveau de la sécurité qu’ils veulent bien mettre en place pour maintenir les pertes à un niveau qu’ils peuvent gérer.  Et cet équilibre se maintient jusqu’à ce qu’un cyber criminel arrive à déjouer le système leur faisant subir une perte énorme, suite à laquelle un changement s’impose. »

Les banques canadiennes utilisent des systèmes de détection d’intrusion et de détection de fraude. Ainsi, si vous entrez incorrectement votre mot de passe trop souvent, votre compte est bloqué.  Elles utilisent aussi un système de questions de vérification comme deuxième niveau de sécurité si vous vous branchez à partir d’un ordinateur inconnu ou d’un nouvel endroit.

Les autres banques canadiennes ont des règles différentes:

  • La Banque TD permet d’utiliser un mot de passe de 8-32 caractères avec majuscules, minuscules et caractères spéciaux.
  • RBC permet aussi 8-32 caractères avec caractères spéciaux, mais ne reconnaît ni les majuscules, ni les minuscules.
  • La CIBC et Le Choix du président Services financiers acceptent tous deux 6-12 caractères alphanumériques, mais pas de caractères spéciaux.
  • Banque Scotia accepte un mot de passe de 8-16 caractères, ne reconnaît ni les majuscules, ni les minuscules et ne permet pas de caractères spéciaux.

Pas de standards, mais du personnel

L’autorité de règlementation canadienne, Le Bureau du surintendant des institutions financières (BSIF), n’a pas établi de standards mais exige que les banques aient suffisamment de personnel qualifié pour gérer la cyber sécurité.

Les banques canadiennes ont donc intégré un deuxième niveau de sécurité dans l’authentification en identifiant l’ordinateur que le client utilise et son emplacement (adresse IP).  Si ces coordonnés ne concordent pas, le client doit répondre à des questions de vérification.

N’est-ce pas justement ce qui a résulté en la plus récente violation iCloud?  Quelqu’un a deviné correctement les questions de sécurité d’une vedette de cinéma et a accédé à ses photos sur iCloud.  Les gens qui connaissent la réponse à vos questions de sécurité ne sont pas nécessairement des pirates informatiques.  Si vous êtes vraiment parano, rien ne vous empêche de modifier la réponse à ces questions pour quelque chose de très différent de la vérité.

Finalement, sachez que même si les données sont cryptées, utiliser un wi-fi gratuit pour accéder à votre compte bancaire n’est jamais sécuritaire…

Cet article a été publié pour la première fois sur le blogue de Pierre Rivet.

Do NOT follow this link or you will be banned from the site!
>
Send this to a friend