Services
Un peu plus des trois-quart des sites bancaires américains ont des failles qui mettent en péril l'identité et la santé financière de leurs usagers, selon une étude réalisée par un professeur et deux étudiants au doctorat en informatique de l'Université du Michigan.
La plupart des failles identifiées par l'équipe ne sont pas des vulnérabilités attaquables: dans la plupart des cas, il s'agit plutôt d'erreurs de conception.
Par exemple, dans 30% des cas, on redirige l'usager vers un site non-sécurisé sans l'en aviser. Dans ce cas, l'usager n'a aucun moyen qui lui permette de vérifier que le nouveau site soit digne de confiance. Par conséquent, l'usager est moins enclin à utiliser les services bancaires en ligne.
D'autres ont des spécifications de mots de passe trop flexibles quant à la longueur ou le contenu. Plusieurs sites permettent de courts mots de passe et certains utilisent même l'adresse de courriel des usagers pour les identifier, ce qui réduit le niveau de sécurité.
De plus, certains envoient des rapports et relevés par courriel. Les étudiants proposent plutôt d'envoyer une notification lorsqu'un relevé est disponible, afin que l'usager puisse aller le récupérer.
24% des sites analysés ne comportaient aucune faille. Au Québec, Desjardins et la Banque Nationale ont récemment révisé leurs procédures de connexion.
L'étude Analyzing Web Sites For User-Visible Security Design Flaws est disponible en ligne en format PDF.
par Gabriel Rodrigue
Effectivement, je suis avec Desjardins et récemment en me connectant a mon compte j'ai du configurer de nouveaux parametre de connexion.
Maintenant, apres avoir entrer le numéro de carte banquaire (nom d'usager pour les banques) on est rediriger vers une page (sécurisé) qui demande le mots de passes et qui contient une image.
Cet image est choisi par l'utilisateur lorsqu'on configure les parametres.
Si en accedant a la page de mots de passe, l'image est pas celle qu'on a choisi et qui est associer au numéro de compte... On sais qu'on est pas sur une page officiel.
Ce n'est pas ''fool proof'' comme on dit en anglais mais j'aime bien cette nouvelle mesure. Ca évite au moin les faux sites et je sais que si ce n'est pas mon image... je n'entre pas mon mot de passe.
