Se connecter à son compte bancaire par internet requiert, en plus du login et du mot de passe usuel, l’utilisation d’un code unique. Par le passé, ces codes étaient communiqués par courrier. Aujourd’hui, ils sont transmis par un petit appareil de type calculette, ou alors envoyés au client sous forme de SMS ou d’image à scanner. On peut se retrouver face à cette même procédure de confirmation lorsque l'on effectue un virement bancaire, notamment si l'argent est envoyé à un nouveau bénéficiaire.
On a longtemps considéré l’envoi du code par téléphone comme sûr. Mais en mai de cette année, un article du quotidien allemand Süddeutsche Zeitung a révélé que des fraudeurs ont réussi à contourner cette procédure et à rediriger de l’argent vers leur propre compte. Ils se sont procurés le login et le mot de passe de clients par phishing, puis le code SMS en profitant des vulnérabilités du réseau mobile. Cette faiblesse est connue de la centrale de sécurité informatique de la Confédération (MELANI): en janvier dernier, elle conseillait au banques de renoncer à l’envoi des mots de passe par SMS.
Validation par calculette moins risquée
Cette méthode est notamment utilisée par Credit Suisse, la banque Cler (ex-banque Coop), Raiffeisen et la Banque cantonale de Zurich. Toutes considèrent la procédure actuelle comme sûre; toutefois, les deux dernières citées indiquent qu’elles vont passer au système de validation par mosaïque – une variation du QR Code – à l’avenir. Cette variante est déjà disponible au Credit Suisse, qui conseille à ses clients de l’utiliser.
Pour Reto König, professeur d’informatique à la Haute Ecole spécialisée bernoise, les méthodes de validation par téléphone sont peu sûres, car des tiers peuvent s’y infiltrer. Les seules qu’il considère comme satisfaisantes sont celles qui font entrer en jeu un appareil spécifiquement utilisé pour la légitimation, telles les «calculettes» jaunes de PostFinance ou celles d’UBS.
Piratage de compte: les clients suisses pas toujours protégés
Scénario catastrophe: au moment de vous connecter à votre compte, vous constatez qu’il a été vidé par des malfaiteurs. Votre banque va-t-elle vous rembourser? Nous avons posé la question à neuf établissements suisses, parmi lesquels UBS, Credit Suisse et la Banque Migros. Tous nous ont répondu qu’ils n’offraient pas de garantie de remboursement absolue dans ces circonstances, chaque cas étant examiné individuellement. Ils ne se montrent accommodants que si le client a respecté son devoir de diligence. Or, le spécialiste Reto König a connaissance de trois cas où les victimes ont dû assumer une partie des pertes...
Thomas Lattmann / vic
