Kitetoa, le redresseur de torts, a encore sévi : le site révèle que les coordonnées de milliers de comptes Banque Directe étaient en libre service sur Internet.
"
Une grosse banque en ligne" victime d’une société de services et d’ingénierie informatique peu sérieuse, Atos. Voilà comment le site Kitetoa, infatigable dénicheur de failles de sécurité, décrivait il y a un an le fait que 10 000 comptes bancaires soient stockés dans un répertoire non protégé accessible sur Internet. Le nom de l’établissement n’était pas cité, parce que la banque n’était pas directement coupable. Pourtant, vendredi 29 juin, le hacker s’est fait un peu moins gentil et a levé le voile : cette grosse banque en ligne s’appelle Banque Directe. Kitetoa n’a pas changé d’avis : "
Banque Directe est vraiment une entreprise pionnière qui a une bonne compréhension du Web. La faute incombe à Atos. C’est d’autant plus scandaleux que c’est une SSII renommée qui ne se gêne pas pour pavaner. J’ai décidé de donner ce nom, parce que les mots de passe des clients n’ont pas été changés, s’explique-t-il.
Selon Banque Directe, cela n’était pas nécessaire. Ils n’auraient vu qu’une dizaine de mots de passe en accès libre. Pour moi, il y en a des milliers, et ils auraient dû renouveler les mots de passe de façon préventive." Marc Lanvin (lire interview), directeur de clientèle de Banque Directe, explique qu’on a "
conseillé" aux intéressés de changer de mot de passe. Si c’est vrai, est-il suffisant de conseiller sans alerter ?
Partenaires qui vous veulent du bien
Quoi qu’il en soit, la sécurité des banques en ligne semble compromise lorsque même une pionnière, avec de l’expérience et 100 000 clients qui lui font confiance, présente de tels défauts dans leur cuirasse informatique. Pour Kitetoa, ce qui est étrange, c’est que la presse n’ait pas réagi à ses révélations : "Quand nous avons publié trois copies d’écran du site de Zebank alors qu’il était en cours de développement, ça a été la curée. Mais 10 000 logins et mots de passe dans la nature, personne ne s’en inquiète..."
Pourtant, le cas de Banque Directe n’est pas isolé. Selon Nicolas Gaudillière, chef de projet dans la société de sécurité informatique Intrinsec, les banques éprouvent de grandes difficultés en matière de sécurité informatique : "Le problème des fournisseurs de services en ligne, c’est qu’ils ont besoin de nombreux partenaires pour travailler. La sécurité est elle aussi partagée entre ces partenaires. Même si la banque est irréprochable, il suffit d’un maillon faible comme Atos pour que cela anéantisse sa sécurisation." Mais le maillon faible aurait très bien pu être l’hébergeur de Banque Directe, la société qui s’occupe de son recrutement en ligne, ses partenaires commerciaux, Yahoo ! ou Wanadoo... Tous voient passer les données bancaires à travers leur système d’information.
Hold-up en ligne
Or, si l’on sait bien transporter les données de façon sécurisée, il est plus délicat de les stocker, comme le montre l’exemple d’Atos. Quelle solution alors pour les banques ? Faudrait-il préférer les certificats numériques aux logins et aux mots de passe ? Développer toute sa sécurité en interne au lieu de faire appel à des sociétés extérieures ? Ce serait trop contraignant. "Il faudrait commencer par ne pas garder les logins et mots de passe en clair sur un site web public", critique Nicolas Gaudillière.
Il faudrait aussi que les SSII se fassent auditer par des spécialistes de la sécurité informatique avant que les banques ne signent de contrat avec elles. Kitetoa trouverait cela parfaitement normal : "Les SSII ont des méthodes commerciales qui consistent à chercher des clients pour monter de nouvelles applications qu’elles ne maîtrisent pas encore. Ils se forment sur le dos des clients. Les sites de e-commerce ne seront donc jamais sécurisés, à moins qu’on ne surveille les SSII." Même s’il est plus simple d’aller braquer un guichet que de réaliser un hold-up en ligne, comme le rappelle Nicolas Gaudillière, les clients apprécieraient sûrement que leurs données confidentielles cessent de traîner sur la voie publique.
Lindows harcelé