Les clients pros du Crédit Agricole recevront prochainement, en mai, un CD-ROM au format carte de visite qui remplacera avantageusement, tout du moins du point de vue sécurité, le protocole actuel de connexion sur le site internet de la banque, notamment pour y consulter ses comptes. La carte Tooal, c'est son nom, contiendra en fait un logiciel d'authentification crypté. Rien de bien révolutionnaire en fait, puisqu'en gros c'est le même principe que celui utilisé pour les certifications de signature électronique, sur un CD, une clé USB ou autre.
Ce qui est remarquable en fait, c'est la reconnaissance de fait par la banque que son système actuel lui pose suffisamment de problèmes de sécurité pour qu'un tel chantier soit mis en place . Même si , pour l'instant cette "mise à jour" ne concernera que les professionnels.
Le Crédit Agricole a en effet, ces derniers temps, au même titre que la BNP, le Crédit Mutuel, ou encore le Crédit Lyonnais, pardon LCL, défrayé la chronique, bien malgré lui, du fait que cette banque a été victime d'une importante vague de phising. Le principe est simple, sous un prétexte de vérification, ou de formalité administrative quelconque, l'utilisateur reçoit un email qui utilise tous les éléments de la charte graphique de la banque, et est invité à se connecter à son compte. Le seul truc c'est que l'email en question n'est pas "connecté" au site du Crédit Agricole, mais à un autre site, dont le propriétaire, un individu malveillant non identifié, va se faire une joie de réceptionner les précieuses informations que vous lui fournirez.
La parade est fort simple : ne jamais se connecter depuis un email. Et cela est valable non seulement pour les banques mais plus généralement sur tous les sites où vous devez saisir des éléments confidentiels, comme par exemple votre numéro de carte bancaire. Les données relatives à l'identification d'un email, notamment celles concernant l'expéditeur, sont parmi les choses les moins sécurisées et les plus faciles à contrefaire sur internet...
L'autre technique de récupération qui fait particulièrement frémir les banques est constituée par les "malwares" qui peuvent s'installer à votre insu ou de fois grâce à vous sur votre système et qui vont simplement récupérer les infos lorsque vous les saisirez pour les envoyer vers un serveur distant... Là aussi le risque de "faille" à grande échelle pour une banque est trés élevé, et un système de sécurisation et d'identification plus évolué qu'une simple formulaire de saisie va de plus en plus se réveler obligatoire.
Alors la prochaine fois que votre ami banquier vous explique que le site de votre banque est particulièrement bien sécurisé, n'oubliez pas que ce qui l'est beaucoup moins c'est votre propre machine et que là, Monsieur le banquier ne maitrise pas grand'chose ! Allez, vous tracassez pas comme ça, les risques sont limités et les actions de piratage vraiment marginales... c'est mon banquier qui me l'a dit ce matin !
Plus sérieusement : connectez-vous depuis les urls (les adresses) des sites et non depuis des emails, et utilisez un anti-spywares reconnu pour limiter les risques de mésaventure de ce genre.
http://www.secuser.com/phishing/2007/070301_credit_agricole.htm
