Le protocole de cryptage SSL utilisé par les banques belges est très vulnérable
Le protocole de cryptage ‘SSL‘ (Secure Socket Layer) utilisé par les banques belges laisserait à désirer, un pirate informatique affirme en avoir fait la démonstration.
Et d’après lui, il est temps d’y remédier, car de nombreuses communications peuvent être interceptées avec des conséquences délicates pour les clients.
Il s’appelle Yeri Tiete et son jugement paraît sans appel.
‘Le système SSL, un système qui permet d’échanger entre deux ordinateurs en toute sécurité, n’est pas sûr. Les sites Internet disposant de cette protection sont reconnaissables par le petit cadenas et au « https:// » qui s’affichent dans la barre de navigation.
[quote]« Nos banques implémentent SSL d’une mauvaise manière et tergiversent trop longtemps avant d’entreprendre des mises à jour ou d’importantes corrections de problèmes techniques.
Ils créent de la sorte un faux sentiment de sécurité », explique le blogueur.
« Si les liens https:// sont vulnérables, les pirates informatiques peuvent alors assister sans le moindre problème aux sessions de communication entre la banque et le client, détourner ces sessions et s’en donner à coeur joie pour adapter les données. »[/quote]
En fait, la banque et le client ont un accord pour entrer en contact, une sorte de langue commune, mais certains PC parlent encore une vieille langue, du coup, c’est là que le danger apparaît.
Les plus mauvais élèves sont:
[info_warning]ING
bpost
BNP Paribas
Record Bank[/info_warning]
Pourtant, un système SSL est fiable, mais, face aux corrections à apporter, les banques belges hésitent avant d’entreprendre les mises à jour nécessaires.
Bref, une hésitation qui permet aux pirates de s’infiltrer dans les sessions de communication entre la banque et son client, avec évidemment toutes les conséquences qui en découlent.
Yeri Tiete, ex-travailleur chez Google, est donc parti à l’abordage de 16 banques belges.
ING, bpost et BNP Paribas offrent les plus mauvais résultats.
Depuis lors, les deux dernières citées ont déjà amélioré leur porte d’entrée.
Record Bank serait aussi l’une des banques les mois bien protégées.
Les pirates peuvent donc prendre les commandes d’une session et tout faire en votre nom, même si le digipass limite malgré tout les dégâts.
En revanche, le pirate peut changer le destinataire d’un virement, peut regarder vos comptes, les opérations que vous avez effectuées, etc…
Des violations claires de la vie privée.
Seules deux banques ont réussi le test.
[info_success]Triodos
Rabobank[/info_success]