Je trouve que les banques ne sont pas très sérieuses de proposer une authentification par mdp ( numéro de client et code confidentiel )
d’autant plus quand ils sont composés uniquement de chiffres., et limités à six.

Même si le code confidentiel est rentré en cliquant sur une grille ( type sudoku ) où les chiffres sont disposés de manière aléatoire.

J’ai pu faire la comparaison avec une banque étrangère qui fournit un kit internet :

Une petite calculette dans la quelle on insère sa carte de la banque ( pas la Visa ou autre CB )

Cette calculette possède un clavier chiffre et deux touches.

Elle permet de rentrer des séries de chiffres à recopier sur le site, et de rentrer son code confidentiel qui est broyé

et de calculer des nombres à rallonge à rentrer sur le site..

Ca ressemble à une authentification par échange de clés aléatoires, à usage unique. .

Evidement la manipulation est plus complexe.. ( surtout avec la notice en néerlandais ), et à renouveller pour valider la transaction.

Le fait de devoir détenir la carte, plus devoir rentrer son code secret dans la calculette et non sur le site, élimine pas mal de pirates potentiels.

Nos banques pourraient faire un effort.

Les banques pourraient également fournir un Live CD, moins cher qu ‘une calculette pour faire une authentification plus sérieuse.

L’avantage du Live CD ( officiel, de la banque ) est qu ‘il n’y a pas d’espion, on redémarre propre à chaque fois, contrairement à un PC qui a déjà tourné sur le net et a pu ere infecté par un rootkit…

La banque peut également bloquer le firewall du LiveCD sur la plage d’ IP de sa banque en ligne, pour éviter que les utilisateurs aillent surfer sur d’autres sites .

Enfin on ne laisse pas de traces de notre passage sur le disque dur du PC hote.. On stocke les relevés sur une clé USB.

Parfois j’hallucine de voir d’autres grand mères ou grand pères, à la médiathèque, laisser leur place sans se déconnecter, sans rien effacer.

Il y a du boulot pour éduquer les gens.

Dans le commerce en ligne, j’ai vu des choses hallucinantes..

Un pirate repenti est venu faire une démo au JT de 13 h sur France 2.

En moins de temps qu ‘il n’en faut pour l’écrire il a récupéré les comptes clients de trois sites de e-commerce, recherchés avec Google .

Le voilà avec trois listes de coordonnées de cartes bancaires, qui peuvent être revendues aux mafias, sur les sites supermarchés du crack.

Ces données n’étaient même pas cryptées dans la base du site, alors qu ‘il y a tout pour le faire dans le PHP.

A quoi sert de blinder son PC , si les serveurs des hébergeurs et les CMS sont des passoires.

Depuis je n’achète plus rien en ligne.

Pour l’instant les banques remboursent, mais lorsque la facture du piratage, atteindra des sommets, je pense qu ‘on imposera aux sites de e-commerce d’utiiliser des hébergeursments sur des serveurs certifiés ainsi que des CMS certifiés e-commerce ( il y a trop d’amateurisme là dedans ).

On trouve également sur le net des outils, dits de tests, pour intercepter les connections, généralement en ligne de commande, mais certains sont tellement conviviaux qu ‘on se demande s’ils ne sont pas destinés aux pirates en herbe, pour leur faciliter la tache. L’outil idéal pour choper les identifiants de code paypal..

Bien sur le client est responsable, mais vu leur niveau parfois..

C’est une source de problèmes pour le e-commerçant, il y a des choses à faire à ce niveau. Google s’y est penché et a trouvé une parade, mais il y a d’autres solutions.

C’est dommage qu’en sécurité les gens ne réagissent que lorsque ça devient intolérable.

Cordialement.