lundi 16 août 2010

Failles de sécurité chez ING Direct

Autant je suis impressionné par les moyens mis en œuvre par ING Direct pour sécuriser les transactions en ligne, autant quelques autres des modes de communication implémentés par la banque me désolent au plus haut point.

En ligne, tout est limpide : le site web ingdirect.fr est signé numériquement par Verisign ; la connexion se fait par le protocole https ; la date de naissance du client est demandée avant toute saisie de numéro de compte ; le mot passe utilisateur n’est pas demandé dans son intégralité et est à taper sur une grille de chiffres disposés aléatoirement ; une double sécurisation par une carte que vous détenez et comportant des codes peut être demandée par un serveur vocal. Parfait. Lourd, contraignant, mais au global fiable. Les deux parties (la banque et le client) sont alors rassurées sur le ‘qui est qui’ et les transactions peuvent avoir lieu en toute confiance.

En revanche, voici 2 catastrophes sécuritaires –pour ne pas dire ‘failles’- dont je me suis aperçu dans l’authentification des clients par téléphone

1. L’authentification du serveur vocal

Quelques opérations chez ING nécessitent un appel téléphonique au service clients. Dans ce cas, vous composez le numéro téléphonique de la banque dont les premières opérations d’aiguillage sont faites par un serveur vocal, comme n’importe où. Mais le problème est que là, vous devez taper sur les touches de votre téléphone pour composer votre numéro de compte et votre code secret dans son intégralité. Tous les bips de touches en modulation de fréquence circulent donc intégralement sur le réseau téléphonique. N’importe quelle écoute téléphonique, y compris le piratage d’un téléphone domestique sans fil (qui est de plus en plus facile à réaliser) permet alors à un pirate d’accéder aux informations de votre compte.

2. L’appel émanant du service client

Pire encore, le trou de sécurité est béant lorsqu’il s’agit d’un appel du service clients. J’avais déposé une réclamation récemment suite à ce problème de frais indûment perçus. Après quelques mails de réponses pitoyables dont je vous ferai grâce, le service clients m’a finalement directement téléphoné pour que l’on discute du problème de vive voix.

Le scénario est le suivant :

L’appel arrive en numéro masqué. Une voix se présente à moi en me disant qu’il s’agit de la banque ING Direct. Ok ; même si aucun numéro ne peut m’en confirmer la provenance, la personne m’appelle néanmoins par mon nom (écorché, soit dit en passant, car ces centres informatiques ne savent toujours pas implémenter les accents dans leur fichiers clients).

Puis, mon interlocuteur m’explique qu’il doit m’authentifier et qu’il va me poser des questions qui prouveront que je suis bien son client si j’y réponds correctement : « Je vais vous demander de me donner votre date et lieu de naissance, et votre adresse exacte ».

Bref, il demande toutes les informations que je considère confidentielles et qui permettraient à n’importe qui de pouvoir ensuite accéder plus facilement à des contenus privés.

Le chargé de clientèle n’a par contre par apprécié que je lui répondre qu’il n’y avait rien qui me justifiait qu’il était bien de ma banque et que je ne savais pas si je pouvais lui donner ces informations en toute confiance. Je lui ai donc demandé de s’authentifier, lui aussi, en me donnant au moins les 2 derniers chiffres de mon numéro de compte ou tout autre partie de ‘secret’ que nous connaîtrions lui et moi. Il m’a dit que c’était impossible et que si c’était comme ça, nous ne pourrions continuer cette conversation par téléphone et que nous la continuerions par mail.

Chantage ! Mais par manque de temps, et de guerre lasse parce que j’attendais la résolution de mon problème, j’ai cédé. Pour cette fois.

Mais une banque devrait avant tout comprendre que l’authentification est mécanisme à double sens : une confiance est partagée, sinon inutile. Alors que dans ce cas, j’ai plutôt l’impression que cette demande de renseignements exhaustifs et privés n’est fait que pour couvrir les fesses d’un centre d’appel maladroit, inefficace et surtout dangereux. Il n’aurait eu qu’à me router sur une procédure d’authentification par mot de passe partiel, ou se basant sur la carte codée que je détiens, tout le monde aurait été content.

Monter un scénario d’attaque contre les clients de la banque ING Direct devient donc réalisable sans trop de difficulté. Imaginez ces méthodes couplées à un vol de courrier dans votre boîte aux lettres –par exemple en subtilisant votre relevé de compte- et n’importe qui se faisant passer pour ING Direct vous extorquera des informations qui compromettront votre sécurité, bancaire ou non.

Aucun commentaire:

Enregistrer un commentaire