4.2.2015, Nicolas Berlie / Les banques sont régulièrement ciblées par les pirates - comme récemment la BCGe. Mais sont-elles "diligentes" en matière de sécurité informatique? Martin Good / Shutterstock.com
Une étude indépendante passe au crible les sites et plateformes e-banking de plus de 180 banques. Résultat: "globalement mauvais".
Article modifié le 11.02.2015, avec notamment la réaction de la BCV
On connaît surtout Cédric Jeanneret pour ses avis tranchés, publiés sur son blog Swisstengu et dans la presse. Sécurité informatique et vie privée sont les sujets de prédilection de l’informaticien, membre du Parti Pirate, mais qui se définit comme un « électron libre ».
En mars 2014, il a lancé ethack.org, un site d’information sur les risques numériques et sur les droits de l’internaute. « J’ai lancé ce site suite à la non-réaction de l’Etat après les révélations de l’affaire Snowden », explique-t-il. L’idée : que les citoyens-internautes prennent conscience des risques auxquels ils s’exposent en utilisant, souvent machinalement, certains services.
Notamment les sites bancaires. L’actualité récente le rappelle, de l’affaire BCGe aux failles Heartbleed et Poodle : les banques sont une cible de choix pour les pirates, et leurs sites parfois loin d’être des Fort Knox informatiques.
Dictée informatique
Cédric Jeanneret a ainsi lancé l’opération « Banquignole », dont il a publié le 4 février 2014 les résultats sur Ethack. Il a testé les sites et les plates-formes d’e-banking de plus de 180 banques actives en Suisse, auscultant leur code à la recherche de dangers potentiels. Parmi ceux-ci, la présence de Flash, de Google Analytics sur la page d’accueil, ou encore de protocoles périmés – comme le SSLv3 – réputés peu sûrs aujourd’hui. « Je n’ai effectué aucun test invasif, il ne s’agit aucunement de hacking, ajoute l’informaticien. Seule la connexion entre le client et la banque a été testée, en aucun cas les applications e-banking. »
A chaque problème, il retranche un point, pour des notes qui sont « globalement mauvaises »: au lancement, la moyenne pour les sites était de 5.31/10, tandis que celles de l’e-banking s’élevait à 7.70/10. Les notes sont régulièrement mises à jour. Les deux grandes banques suisses, Credit Suisse et UBS, se sortent plutôt bien de cette « dictée informatique ». Du côté des banques cantonales, les résultats sont plus mitigés, la BCV écopant par exemple d’un 5/10 au lancement (la note a été relevée depuis). A noter que certains établissements, comme la Deutsche Bank, reçoivent même des notes négatives.
« Les risques concernent la vie privée, pas le siphonnage de comptes », tempère Cédric Jeanneret. Il n’y a donc pas de trou béant dans la sécurité. De plus, même concernant la vie privée, le danger reste théorique: « Il serait difficile d’exploiter de telles failles, cela demanderait une puissance de calcul dont le coût pourrait dépasser le bénéfice attendu. Cela serait donc peu intéressant du point de vue d’un particulier. Dans le cas d’un Etat, par contre… »
Etude contestée
La publication de ces résultats a généré pas mal d’émoi chez les clients, sans oublier un coup de gueule sur Facebook de Sébastien Fanti, Préposé valaisan à la protection des données.Mais Banquignole a aussi essuyé des critiques quant à la méthodologie utilisée, sur ethack.org et de la part des banques. Pour la BCV, ce comparatif « comporte des erreurs » et « ne prend pas en compte l’ensemble des mesures de sécurité ». S’appuyant sur les données du MELANI, Centrale fédérale d’enregistrement du cybercrime, Jean-Pascal Baechler, conseiller économique à la BCV, relève en outre que « les pirates ciblent de plus en plus les clients des banques, au travers d’attaques de phishing ou de l’envoi de messages avec pièces jointes contenant des malware, et non les sites de banque en ligne, qui sont très bien protégés. »
Un point de vue que relativise le cas de chantage dont a été victime la BCGe. Pour Cédric Jeanneret, si le risque est faible, c’est néanmoins une « question de principe et d’image » pour les banques. Pourquoi alors sont-elles si peu diligentes ? L’infrastructure informatique représente un coût à perte pour les banques, note l’informaticien, même si elles cornaquent paradoxalement leurs clients vers l’e-banking. Du coup, elles vont avoir tendance à externaliser, et seront tributaires du zèle que leur prestataire mettra à faire les mises à niveau nécessaires.
Il est dès lors temps de donner un « grand coup de pied dans la fourmilière » : « J’espère que les clients qui découvriront les notes de leur banque lui mettront la pression ». Dans un cas, un établissement particulièrement mal noté a pu resserrer ses boulons grâce au signal d’alarme d’Ethack. Réagir est d’autant plus urgent que, comme le relevait la FRC en février 2013, les banques se défaussent généralement de toute responsabilité en matière d’e-banking dans leurs conditions générales, même en cas de piratage de leur propre système…