Les malfaiteurs qui se procurent illégalement les données bancaires ne sont pas seulement dans la rue, ils sont aussi sur la toile. La prudence est donc de mise, surtout quand il s’agit d’e-banking. Cette pratique, qui permet de faire ses paiements ou de consulter le solde de son compte en ligne, au milieu de la nuit et directement depuis son canapé, est aujourd’hui largement usitée. Elle comporte néanmoins certains inconvénients, surtout sur le plan sécuritaire. Les banques redoublent donc d’ingéniosité pour prouver à leurs clients que tous les moyens sont mobilisés pour assurer leur sécurité.
à chacun son système
Pour accéder à son compte en ligne, il faut généralement passer trois niveaux d’identification: l’inscription d’un numéro de contrat, puis d’un mot de passe secret et, enfin, d’un code aléatoire, généré différemment selon les banques. Hormis quelques systèmes payants qui permettent, selon les dires des établissements, de bénéficier d’une sécurité accrue, on relève six systèmes proposés gratuitement.
- Une carte à grille intégrant de nombreux chiffres (officiant comme code), pour les clients de Raiffeisen, de la Banque Coop et des Banques Cantonales Bernoise (BCBE), du Valais (BCVS), de Fribourg (BCF) et de Genève (BCGE).
- Un code de sécurité envoyé par SMS sur son téléphone portable à la Banque Cantonale Vaudoise (BCV) et à Credit Suisse, mais aussi à la Raiffeisen, à la Banque Coop et à la BCGE.
- Une clé USB qui, une fois introduite dans l’ordinateur, fait démarrer automatiquement un navigateur sécurisé à la Banque Migros.
- Une clé USB aussi, mais associée à une carte à puce personnelle, à la Banque Cantonale Neuchâteloise («BCN-Netkey»).
- Un lecteur de carte dans lequel on introduit sa carte bancaire et qui génère un numéro d’identification personnel (NIP) à PostFinance et UBS, mais aussi à la BCN (qui remplace progressivement la «BCN-Netkey»).
A noter deux nouveautés: dès le 19 novembre, les clients de la BCF pourront choisir entre la carte à grille et le code envoyé par SMS. Et, à la même date, Raiffeisen mettra à disposition, un système supplémentaire d’accès sécurisé, le «photoTAN»: le client pourra découvrir le mot de passe après avoir décrypté, grâce à son smartphone, une mosaïque en couleurs sur l’écran de son ordinateur.
Protection insuffisante
Or, l’an dernier, l’émission de la SF Kassensturz, l’équivalent alémanique de A Bon Entendeur, a testé la sécurité de six méthodes d’accès à l’e-banking dans quatre instituts bancaires: le lecteur de carte et l’«Access Key» (système comparable à celui de la BCN) vendu 65 fr. chez UBS, le passeport avec empreinte digitale («AXSionics Internet Passport») cédé 30 fr. à la BCBE ainsi que la carte à grille et le système de code par SMS disponibles chez Raiffeisen et, enfin, la clé USB fournie par la Banque Migros.
Un spécialiste informatique a joué au hacker et tenté d’exécuter un ordre de paiement à l’insu de l’internaute, après avoir introduit un cheval de Troie (lire encadré) dans son ordinateur. Les résultats sont inquiétants, puisque, quatre fois sur six, le prétendu cybercriminel a réussi sans peine à pirater le compte bancaire de la victime. Seuls les deux moyens d’accès proposés par UBS, le lecteur de carte et l’«Access Key», ont assuré une protection maximale à l’internaute. En revanche, les systèmes par empreinte digitale, clé USB, code SMS et carte à grille n’ont pas été en mesure de contrer l’attaque.
Les bons gestes
Face à ces résultats, il vaut donc la peine de maximiser la sécurité en respectant plusieurs règles lors d’un paiement en ligne.
- Ne jamais fournir des informations confidentielles par e-mail (numéros de compte, mots de passe, etc.).
- N’ouvrir aucun message ou pièce jointe de source inconnue ou suspecte.
- Contrôler que le site est sécurisé. Il doit être précédé par un «https» au début de l’adresse (le «s» étant synonyme de «sécurisé» ) et par un cadenas ou une clé.
- Ne pas surfer sur d’autres pages web en même temps que celle de la banque.
- Choisir un mot de passe complexe et le modifier régulièrement.
- Quitter la plateforme en mettant fin à la session avec la fonction «quitter» ou «logout» et pas seulement en fermant la fenêtre.
Par ailleurs, il faut également protéger son ordinateur contre les attaques. On pensera donc à tenir ses logiciels à jour (système d’exploitation, navigateur et autres programmes) et à installer des protections, comme un antivirus, un pare-feu (firewall), un antispam et un antispyware. La Centrale suisse d’enregistrement et d’analyse pour la sûreté de l’information Melani regroupe, sur son site, certains de ces programmes, à télécharger gratuitement à l'adresse www.melani.admin.ch.
Marie Tschumi
Le glossaire du geek
Cheval de Troie: programme téléchargé sur internet qui agit sur l’ordinateur d’une victime sans qu’elle s’en rende compte. Il sert souvent à espionner des données sensibles et à détourner des transactions.
Virus: ils accèdent au disque dur par le biais de documents attachés aux e-mails ou par des fichiers infectés, téléchargés à partir du net. Les dégâts sont divers et vont de la modification de fichiers à l’effacement complet du disque dur.
Vers: ils se servent de lacunes de sécurité pour créer des dommages comparables à ceux des virus.
«Phishing» ou hameçonnage: technique qui consiste à recueillir les données confidentielles par e-mail, en envoyant un faux message qui demande d’actualiser ou de ressaisir ses données confidentielles pour l’e-banking.
«Pharming» ou dévoiement: la victime est renvoyée sur un faux site même si elle a rédigé correctement l’adresse. Elle n’y voit que du feu et inscrit ses données et ses mots de passe en ignorant totalement qu’ils sont récupérés par des pirates.