Cet article de Silicon.fr pointe du doigt les résultats d’un audit mené par la CNIL auprès de 10 banques en ligne, dans lequel on apprend que de nombreuses améliorations restent à faire au niveau de la sécurité des sites de ces établissements bancaires.
Les conclusions sont plutôt logiques, les banques en ligne sont encore jeunes et manquent de maturité sur le plan de la sécurité : authentification forte, mot de passe complexe, test de la sécurité du poste de travail, tous ces aspects sont nécessaires et perceront petit à petit dans la démarche de sécurité que les banques entreprendront auprès de leurs clients. En revanche je m’étonne fortement de voir que des sites bancaires proposent encore de l’authentification sur session non chiffrée,
Enfin, la CNIL rappelle les bonnes pratiques en matière de navigation sécurisée :
- Assurez-vous de la sécurité de votre ordinateur (mises à jour récentes de votre système d’exploitation, installation d’un logiciel anti-virus et d’un logiciel pare-feu – firewall).
- Attention également aux « spywares » (espiogiciel ou encore mouchard).
- Accédez à votre site de banque de manière sécurisée et vérifiez l’orthographe de l’adresse .
- Contrôlez la date et l’heure de votre dernière connexion ainsi que la durée. Vous serez ainsi aussitôt avisé d’une connexion effectuée à votre insu.
- Vérifiez que la connexion est sécurisée.
- Terminez obligatoirement votre connexion à votre site bancaire en utilisant le bouton « déconnexion ».
- Ne cliquez jamais sur un lien dans un courriel reçu pour accéder à votre site de banque en ligne (« phishing »).
- Réservez vos accès banque en ligne à votre domicile à l’exclusion de tout autre lieu.
C’est là que je me dis que l’utilisateur moyen (sans connotation péjorative), doit se sentir bien seul lorsqu’on lui parle de firewall (firequoi ? firewire c’est ça ?), qu’on lui parle de phishing, qu’on lui demande de se méfier des spywares (ça s’attrappe comment ? ça ressemble à quoi ?), qu’on lui dit de vérifier la mise à jour de son système (euhhhh de quoi parle-t-on là ??).
Je vois des postes, chez des amis, voire dans ma famille, qui sont de véritables nids à virus et à spywares, sur lesquels tournent des dizaines de processus aux noms pas catholiques, sur lesquels je me refuserais à tenter la moindre connexion sur le site de ma banque.
Mais, alors, comment venir en aide à ces gens qui ne sont pas informaticiens et qui ne comprennent donc pas le quart des risques ni même le quart du pourquoi de ces recommandations!??
On a beau tout faire pour améliorer l’ergonomie du poste de travail, dire à tout và que l’utilisation de l’outil informatique est simple, il n’empêche… un système où l’on doit cliquer sur démarrer pour éteindre son poste, où l’on doit savoir ce qu’est une mise à jour critique (euhhhnng???) où l’on doit savoir qu’un e-mail peut être affiché au format HTML et contenir du code malveillant qui peut bousiller votre ordinateur…
…ce système là, celui que la majorité des utilisateurs utilise, n’est pas un système -simple- à comprendre ni à manier, et requiert une certaine maîtrise qui n’est pas à la portée de tous.
et que l’on ne me parle surtout pas de Linux… le monde où tout va bien jusqu’au jour où ça ne va plus (emerge unmerge alsa-drivers ; cd /usr/src ; tar xvfz kernel-2.6.14.tar.gz ; make menuconfig ; make && make modules_install ; mount /boot ; ; cp arch/i386/bzImage /boot ; cp system.map /boot ; vi /boot/grub/grub.conf ; reboot ; dmesg |grep sound ; alsaconfig ; amixer ; mpg123 ; emerge mpg123 ; mpg123 ; alsaconfig………………)
Alors, faudra-t-il envisager de délivrer un permis d’utiliser un ordinateur ? Ou un permis de naviguer sur le net ? Quand j’entends certains utilisateurs, complètement paumés par cet outil qui les dépasse, je pense que les boites de formation pour particuliers et les boites de dépannag ont de beaux jours devant elles…