C'est pas mon idée !

jeudi 19 avril 2012

Mobile : un risque sournois pour la banque ?

L'évocation de la sécurité des données financières sur mobile renvoie, dans la plupart des cas, aux applications et autres services web que les banques mettent à disposition de leurs clients pour leur permettre d'interagir directement avec leurs comptes, en tout lieu et à tout moment. Comme l'ont montré quelques études, il s'agit d'une menace réelle, qui doit être traitée avec la plus haute priorité.

Cependant, le débat ne peut pas s'arrêter là et d'autres risques, moins visibles mais tout aussi critiques doivent être pris en compte. Ainsi, par exemple, de nombreux utilisateurs installent un "gestionnaire de mot de passe" sur leur smartphone, pour stocker la multitude de codes nécessaires à la "vie en ligne" moderne. Parmi ceux-ci figurent, naturellement, les identifiants d'accès à la banque en ligne, voire les codes PIN des cartes bancaires. Or, selon une récente enquête d'ElcomSoft, il s'avère que ces logiciels sont loin d'être aussi sécurisés qu'ils devraient l'être et mettent souvent en danger les données qu'ils sont censés protéger.

L'analyse, qui portait sur quelques-unes des applications les plus populaires du genre pour iPhone, a démontré que la majorité d'entre elles n'opposait qu'une faible résistance à une tentative d'extraction des informations qu'elles stockent. Dans un cas, ces dernières sont même enregistrées "en clair", sans le moindre effort de dissimulation. En réalité, toutes les solutions étudiées, à l'exception d'une ou deux, n'offrent de sécurité que grâce aux mécanismes natifs de l'iPhone : le chiffrement systématique de toutes les données et le système de verrouillage avec un mot de passe "système".

Malheureusement, les consommateurs sont souvent réticents à adopter cette dernière fonction sur leur téléphone. Et ils laissent ainsi, sans le savoir, la porte de leur coffre-fort de mots de passe grande ouverte à toute personne qui s'emparera de leur appareil. Un peu comme lorsqu'ils notent le code PIN de leur carte bancaire sur un post-it glissé dans leur portefeuille (à la différence que, dans ce dernier cas, ils sont généralement conscients de commettre une bévue).

De toute évidence, la menace que représentent ces applications n'est pas aussi critique qu'une vulnérabilité dans un service en ligne mais elle mériterait tout de même de ne pas être ignorée. De la même manière que de nombreuses banques ont pris l'initiative d'alerter leurs clients sur la nécessité de protéger leur PC (notamment en recommandant l'installation d'un antivirus), voire de leur fournir des solutions de sécurité spécifiques (comme, depuis peu, Société Générale avec le produit Rapport de Trusteer), l'éducation des consommateurs sur les bonnes pratiques de sécurité dans leurs usages du mobile devient impérative.

En pratique, une information du public sur les dangers du stockage de identifiants et mots de passe dans un logiciel "quelconque" représenterait un niveau de sensibilisation minimal, peu onéreux à mettre en œuvre. Mais, comme un simple message ne suffira certainement pas à dissuader la majorité des utilisateurs de poursuivre leurs habitudes dangereuses, il faudrait certainement envisager des actions plus concrètes, de la recommandation de solutions dont la sécurité a été validée à leur distribution directe par la banque.

Aucun commentaire:

Publier un commentaire

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)