La Libre Belgique relayait il y a peu une information donnée sur son blog par un consultant en informatique: les sites de la majorité des banques belges ne sont pas assez sécurisées et possèdent dans leur gestion de l'espace client (espace https sécurisé SSL) de trop nombreuses failles qui pourraient permettre à des hackers de visualiser les données des comptes (montants, numéros de cartes, liste des bénéficiaires habituels, etc.) et même de modifier ces données alors que vous êtes en train de les encoder (afin de détourner un virement par exemple).
Mais ce consultant me semblait en tirer de mauvaises conclusions. Il affirmait en effet que cela était probablement dû à la volonté des banques de garder des sites encore compatibles avec Windows XP et des navigateurs anciens tels le Internet Explorer 6 (IE6).
Pourtant il notait bien qu'une banque totalement sûre, parmis les deux qu'il citait, était La Poste. Or le site de La Poste fonctionne sous... IE5!!! Oui, cette antiquité!
Je pense qu'en la matière qui nous concerne ici il ne faut pas confondre le serveur de l'entreprise qui vous rend un service avec votre propre ordinateur. Le problème pointé du doigt concerne la sécurité des serveurs des banques et non celle des ordinateurs des clients.
Faire croire que parce que vous allez vous mettre à Windows 10 directement en abandonnant Windows XP ou Windows 7 et même Windows 8.1, vous allez pouvoir surfer plus sereinement est évidemment totalement faux.
Comme je le dénonçais déjà dans un article ici: tout hacker expérimenté peut et sait avoir accès à toutes les données transitant entre l'Internet et votre ordinateur.
La faute en revient exclusivement aux failles des protocoles "sécurisés" des sites https (SSL/TLS). Et j'en pointerais une en premier: l'UE (Union Européenne) interdit aux entreprises tout cryptage sur plus de 128 bits. Or pour décoder des données cryptées sous 128 bits il faut certes faire tourner un ordinateur de bureau 24h/24 7j/7 pendant deux ans... 2 ans oui, mais pour un ordinateur de bureau donc type 64 bits Windows 8. Donc beaucoup moins pour un mini-ordinateur 128 bits Unix et encore moins si je dispose d'un ordinateur type "armoire", ce que tout étudiant en sciences mathématiques (physique, biologie, biochimie, et... informatique) n'a certes pas mais peut néanmoins y avoir accès via son université.
Alors ne parlons pas des hackers professionnels qui tirent de l'argent de leurs exactions et qui peuvent bien s'en offrir deux d'ordinateurs "armoires". Quoique là j'exagère: il n'est point besoin de cela pour ce genre de hackers: plutôt que d'attaquer une seule cible que serait votre banque il est préférable pour eux de lancer sur le net, tous azimuts, des piégeurs d'écrans et de claviers afin de récupérer les numéros et cryptogrammes de cartes de crédit.
Mais enfin: 128 bits de cryptage maximum autorisés pour les entreprises, est ce que cela ne parraît pas un peu peu? Surtout quand on sait qu'il n'y a pas de limites par contre pour un simple particulier!
C'est-à-dire qu'une entreprise pour sa section recherche et développement ne peut crypter que jusqu'à 128 bits alors que monsieur n'importe-qui qui est certainement plus susceptible de vouloir se livrer à des activités illicites qu'une entreprise peut crypter jusqu'à du 5120 bits si cela lui chante!!!
Je comprends néanmoins que pour des raisons sans doutes liées à l'évasion fiscale et autres arrangements financiers, on doive limiter la capacité de cryptage des entreprises... mais alors seulement de leur secteur comptable et financier. Cela va de soit. Pour ce qui est des "espaces clients" et des autres secteurs dont notamment la recherche et développement, il va de soi qu'on ne devrait pas la limiter. Au contraire: c'est la capacité de cryptage des personnes privées qu'on devrait limiter à 128 bits.
Si on n'est pas d'accord avec cela alors il ne sert à rien de crier au loup lorsque l'on entend les initiales "NSA". On sait que les américains, via la NSA, espionnent les entreprises européennes et, comme cadeau, que leur offre la Commission Européenne? La limitation du cryptage des entreprises à 128 bits; facilitant ainsi le décryptage non seulement des données de l'entreprise mais également de leurs clients!
Mais pour en revenir au problème particulier des serveurs des banques, des sites des banques.
D'abord les banques n'ont pas toutes une équipe informatique d'experts en sécurité. Elles font souvent en la matière appel à des sous-traitants informatiques. Et le problème est de savoir si ces sous-traitants sont des "généralistes des sites web" ou bien sont spécialisés en transactions banquaires.
À ce niveau il convient de noter que, hormis pour les tablettes et smartphones, pour les sites web des banques on est assez bien loti en Belgique comparativement à la France où d'autres pays voisins. Principalement car si même si ces sous-traitants seraient des "généralistes", le système d'identification auprès de l'espace client de nos banques se fait en général via lecteur de carte et non bêtement via le couple identifiant / mot de passe.
Enfin pour ce qui est des protocoles SSL/TLS j'ai déjà écrit ici que les premières versions de ces protocoles contenaient toutes, même celles des ordis du Pentagone, des failles, failles expressément laissées là, donc programmées, par les premiers informaticiens du web tant à l'époque où il était purement militaire qu'à l'époque où il est devenu public.
Ces informaticiens s'en vantent d'ailleurs ouvertement dans divers bouquins.
Enfin, c'était ce que m'inspirait cette nouvelle assez récente de "failles" dans les sites des banques.