Biométrie et banques : la Cnil Juvénale*
Semaine biométrique en diable, avec notamment une récente décision de la Cnil qui autorise « la société Bloomberg à mettre en oeuvre un dispositif biométrique permettant de contrôler les accès à un service en ligne d'informations financières. Ce dispositif repose sur l'enregistrement des empreintes digitales dans un carte individuelle ». En d'autres termes, la Cnil crée un précédent en légalisant en France la transmission de données biométriques en guise d'authentifiant secondaire. Il est, dans ce cas précis, absolument impossible à l'entreprise en question de vérifier l'origine de cette signature biométrique (la personne à qui appartient cette pseudo « preuve » n'est pas sous les yeux d'un quelconque agent de contrôle). Avec ce premier petit « coup de canif » dans l'usage du biométrique utilisé durant une transaction, la Cnil ouvre une vanne qu'il sera bien difficile de refermer.
La Cnil, il y a à peine un jour, publiait un autre communiqué qui, également, soulève un certain nombre d'interrogations, tant sur le fond que sur la forme : « 7 banques sur 10 assurent une confidentialité et une sécurité correctes sur leur site internet » nous affirme la Commission Nationale Informatique et Libertés. Le titre est considérablement plus triomphaliste que le contenu. Car, à la lecture du rapport, l'on s'aperçoit que rien ne permet de dire que les banques veillent à la sécurité des accès de leurs clients. De l'avis même de la Cnil :
- Aucune authentification forte et incontestable des clients internautes n'est mise en oeuvre, par exemple par carte à puce ou clé électronique unique. Seuls les identifiants et mots de passe ouvrent les portes des banques en ligne ;
- La moitié seulement des sites effectue une mise en garde concernant la question de la sécurité préalablement à la première connexion et dispose d'une aide en ligne permanente.
- Le mot de passe est rarement remis sous pli confidentiel ou envoyé en recommandé avec accusé de réception lorsqu'il est transmis par courrier postal. Il est souvent inférieur à 7 caractères alphanumériques et sa durée de validité est illimitée ;
- Quatre sites de banques en ligne ne sont pas en transaction sécurisée « https » lors de l'échange des identifiants et mots de passe, la bascule en mode sécurisé ne se faisant qu'après l'envoi de ces informations en clair sur le net ;
- Peu de sites permette la consultation d'un historique des dernières connexions ou la réception d'un accusé de réception des opérations effectuées ;
- Enfin, la quasi-totalité des sites n'offre pas la possibilité aux internautes :
- de tester leur poste de travail (test du système d'exploitation, du navigateur, des cookies, etc.),
- d'être informés des mises à jour régulières des règles de sécurité à suivre.
...et ce ne sont là que quelques uns des problèmes réels, la Cnil n'ayant pas rang d'expert en matière de test de pénétration ou de validation de procédure de sécurité. On peut citer notamment, parmi les hiatus courants chez les banquiers spécialistes du « en ligne », la fixité des noms de login (50 % du travail facilité en faveur des pirates), la divulgation à de multiples personnes dudit identifiant -et parfois même du mot de passe-, la sécurisation https « fantôme » disparaissant une fois la première page de connexion franchie, l'absence de procédures visant à prévenir les clients en cas de vol manifeste d'identité suivi de détournement d'argent, la transmission du code de hachage de certains mots de passe « en clair » sur Internet... soyons charitables envers ces pauvres financiers, cessons là cette sinistre énumération. On peut se demander, le jour où les banquiers français seront capables de fournir un service d'accès en ligne réellement sécurisé, quels seront les termes utilisés par les futurs communiqués de la Cnil. Car il sera difficile de faire plus ronflant qu'aujourd'hui.
La suite du communiqué est encore plus préoccupante. On y découvre une suite de conseils dont la mise en oeuvre relève bien souvent du voeu pieux
- Assurez-vous de la sécurité de votre ordinateur (mises à jour récentes de votre système d'exploitation, installation d'un logiciel anti-virus et d'un logiciel pare-feu - firewall)
Outre le fait que ces avis de la Cnil ne dépasseront probablement pas le cercle restreint d'un petit nombre d'initiés et de curieux, ce genre de proposition n'est pas toujours possible à appliquer. En outre, la récente affaire du rootkit Sony-Bmg prouve que les firewalls et autres anti-virus sont loin de mériter les valeurs que nos respectés gardiens des fichiers informatiques veulent bien leur prêter. Ce genre d'avis conforte également un peu plus l'idée reçue que le « couplet gagnant » de la sécurité se limite au binôme antivirus-firewall... certains poncifs ont la vie dure.
- Attention également aux « spywares » (espiongiciel ou encore mouchard) ;
Sage remarque auquel il faudrait ajouter les keyloggers et autres rootkits.
- Accédez à votre site de banque de manière sécurisée et vérifiez l'orthographe de l'adresse
Glissons sur les signes et caractéristiques d'une liaison sécurisée qui ne dépend hélas pas du client comme semble l'affirmer la Cnil, et fermons les yeux sur la seconde partie de la suggestion. Le propre d'un spoofing d'URL est précisément de « sembler » officiel, et à part quelques outils du genre « barre Netcraft », bien malin qui pourrait dire si tel ou tel site du Crédit Yonnais ou de la Banque Fortiche est pain béni ou non. Des professionnels se font abuser par des techniques de leurre simples, comment demander à des gens « normaux » de s'avérer plus sages que ces gourous du hack ?
- Contrôlez la date et l'heure de votre dernière connexion ainsi que la durée. Vous serez ainsi aussitôt avisé d'une connexion effectuée à votre insu.
... si de telles informations sont accessibles sur le site bancaire, si la mémoire ne fait pas défaut à l'usager, si les connexions ne sont pas trop fréquentes, si l'utilisateur sait lire son propre cahier de logs, si ...
- Vérifiez que la connexion est sécurisée
Là, ce n'est plus un leitmotiv, c'est une réplique obsessionnelle. A une époque où les banques américaines abandonnent le https pour des raisons évidentes, et où des sites de phishing exploitent des pages « autosignées » ou des « multiframes » de provenances trompeuses, l'interprétation d'une telle recommandation s'adresse aux personnes possédant un certain niveau d'expertise, sinon un niveau d'expertise certain.
- Terminez obligatoirement votre connexion à votre site bancaire en utilisant le bouton « déconnexion »
... ce qui sous-entendrait qu'il serait envisageable d'imaginer des Webmestres de banques capables de laisser une session http « ouverte » après disparition du socket IP ?
- Ne cliquez jamais sur un lien dans un courriel reçu pour accéder à votre site de banque en ligne (« phishing »)
Enfin un avis sérieux. Espérons qu'eBay aura entendu ce genre de conseil et cessera de communiquer par email avec ses clients dont l'identité a été compromise. Car entre un « véritable » courrier eBay et un phishing éhonté, bien malin qui peut faire la différence.
- Réservez vos accès banque en ligne à votre domicile à l'exclusion de tout autre lieu.
Encore un conseil avisé qui repose, une fois de plus, la question de la responsabilité des organismes bancaires et des mesures de quarantaine que l'on doit imposer à tout poste distant accédant à un réseau sensible. Ceci dit, rien ne garantit qu'une machine « personnelle » soit mieux protégée qu'une machine « kiosque ». Un ordinateur de Web Café est à priori, désinfecté à périodes régulières, par une personne disposant d'un bagage technique que l'on espère supérieur à la moyenne.
*Qualificatif résumant à la fois le sens critique et satirique des articles de notre chère Commission. Le contrepet n'est pas parfait... ce sont hélas les impératifs de la presse, coco.