Banques en ligne: nombreuses failles
Un peu plus des trois-quart des sites bancaires américains ont des failles qui mettent en péril l'identité et la santé financière de leurs usagers, selon une étude réalisée par un professeur et deux étudiants au doctorat en informatique de l'Université du Michigan.
La plupart des failles identifiées par l'équipe ne sont pas des vulnérabilités attaquables: dans la plupart des cas, il s'agit plutôt d'erreurs de conception.
Par exemple, dans 30% des cas, on redirige l'usager vers un site non-sécurisé sans l'en aviser. Dans ce cas, l'usager n'a aucun moyen qui lui permette de vérifier que le nouveau site soit digne de confiance. Par conséquent, l'usager est moins enclin à utiliser les services bancaires en ligne.
D'autres ont des spécifications de mots de passe trop flexibles quant à la longueur ou le contenu. Plusieurs sites permettent de courts mots de passe et certains utilisent même l'adresse de courriel des usagers pour les identifier, ce qui réduit le niveau de sécurité.
De plus, certains envoient des rapports et relevés par courriel. Les étudiants proposent plutôt d'envoyer une notification lorsqu'un relevé est disponible, afin que l'usager puisse aller le récupérer.
24% des sites analysés ne comportaient aucune faille. Au Québec, Desjardins et la Banque Nationale ont récemment révisé leurs procédures de connexion.
L'étude Analyzing Web Sites For User-Visible Security Design Flaws est disponible en ligne en format PDF.
| par Gabriel Rodrigue |
Consultez nos plus récents articles sur ces sujets connexes: banque, sécurité, Université du Michigan
Partagez
Commentez
Imprimez
