Les banques à la masse niveau sécurité
Aujourd’hui, je renouvelle l’un de mes noms de domaine. Par carte de crédit bien évidemment.
Et la, pour la première fois, ma banque, le Crédit Agricole, me demande de définir un mot de passe que je devrai apparemment retaper à chaque utilisation de ma carte.
Sur le coup, je me dis “ouah, super idée. Enfin la faille de sécurité énorme au niveau des paiements par carte bancaire sur Internet ne demandant pas de code va être corrigée”.
Je tape donc un code. Et la, surprise !
Il y a des conditions requises au niveau du mot de passe.
Mais, contrairement à ce que l’on est habitué à avoir, c’est à dire des conditions favorisant la sécurité, on a ici le contraire.
- Le code ne peut contenir que des caractères alphanumériques.
- Il a une longueur de 6 caractères. Pas plus, pas moins.
- Il doit contenir au moins un chiffre et une lettre.
Rien à redire sur le dernier. C’est les deux autres qui sont nuls.
Pourquoi limiter à 6 caractères ?? Encore dire “6 caractères minimum”, je comprendrais. Mais si j’ai envie de mettre un mot de passe à 8 caractères, c’est plus sécurisé et ça coute pas plus cher.
Et pourquoi limiter aux caractères alphanumériques ? Si j’ai envie de mettre un “;” ou un “^” dans mon mot de passe, en quoi ça gène le stockage ou que ce soit ??
Les banques ont 10 ans de retard d’un point de vue sécurité. Et pourtant on ne peut pas dire que les données qu’ils font transiter ne sont pas sensibles.
Elles ne sont pas si à la ramasse que ça.
Tu peux aussi dire que ta CB n’est pas sécurisée parce que ton PIN n’a que des chiffres, et pas plus de 4.
Le tout c’est de regarder l’usage. Ton compte sur un serveur a besoin d’être gros parce qu’il faut qu’il résiste à des milliers voire des milliards d’essais.
Il doit même pouvoir résister à une tentative de résolution à partir de l’empreinte du mot de passe lui même (pour peu que quelqu’un ait accès à la base).
Celui qui réussit a accès à tout et les conséquences sont définitives.
Ici c’est différent. La banque est un point central qui peut se permettre de bloquer temporairement l’accès après un certain nombre d’échecs.
Si tu n’as que 3 essais un PIN de quelques chiffres est suffisant. S’ils demandent 6 c’est probablement pour éviter que des idiots y mettent le PIN de la CB directement. S’ils demandent lettre et chiffre c’est pour éviter que on ait des dates anniversaire ou des prénoms.
Pas besoin d’aller plus loin s’ils sont capable de tracer des tentatives multiples. Personne ne pourra tenter un millier de combinaisons pour débloquer le paiement donc aucun besoin de le code résiste à une telle tentative.
En fait leur boulot est même encore plus simple car il n’y a aucune conséquence définitive. Tu es capable de refuser un paiement fait sans la puce de ta CB et sans signature (donc tout ce qui est fait online). Si la banque est sympa elle peut même t’alerter de problèmes potentiels quand elle constate des échecs.
Bref, même si ça casse il n’y a aucune conséquence, et donc la sécurité doit être appropriée, mesurée en conséquence.
Mais tout cela est encore plus positif pour nous que pour la banque. Demandes un identifiant secret très fort, et la banque va commencer à te dire que finalement cet identifiant est une clef d’accès, et donc qu’il t’authentifie, bref, que tu ne pourras plus dénoncer le paiement si cet identifiant a été validé.
Un identifiant simple c’est juste une sécurité, pas une authentification. Bref, ça reste à l’avantage de l’utilisateur.
C’est la faute du stagiaire de la banque, il manque d’XP ^^
De toutes façon c’est tout le système bancaire qui est obsolète, sachant que toute l’infrastructure est en Cobol (ou autre vieux langage chelou, je ne sais jamais :x)…
J’ai constaté la même chose avec ma Visa émise par ma banque Suisse. Comme quoi en Suisse, on a le secret bancaire mais pas la sécurité des mot de passe…la honte
La préoccupation des banques est plus de conserver notre argent que d’empêcher la fraude, la ou il y quelques mois il fallait 48 h pour passer de l’argent d’un compte à un autre il faut maintenant 15 jours par contre, il compte débiteur est bien débité dans les 48 heures.
regardez la différence entre un service comme mint.com ou wasabe.com qui vous permet de gérer votre compte bancaire a la Web2 et la pauvreté des services en ligne founis par les banques (je suis a la caisse d’epargne).
Un jour ou l’autre, faudra que quelqu’un leurs dise de passer sous openID… et au passage, de changer leur equipe de dev…