Le SSL (HTTPS) Remis en cause par des banques

Commentez les toutes dernières actualités informatiques
Scanner Windows pour détecter les erreurs de registre

Ce que nous vous conseillons :

1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs.

2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons
    fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.



Messagepar JoShuA » 26 Aoû 2005, 10:27

Une étude de Netcraft tendrait à prouver que les principales banques américaines, notamment Bank of America, Wachovia, Chase et Amex, n’utilisent plus de tunnel SSL lors de l’ouverture de leurs pages de logon. Ce qui ne signifie pas que les crédences des usagers soient exposées aux sniffers de tous, non. En fait, le couple « nom-mot de passe » est crypté sur le poste client et expédié vers le serveur, en dehors de toute sécurisation du lien http. Le tunnel n’est ouvert qu’une fois la crédence acceptée.

La raison de cet abandon ? Le temps de réponse, expliquent les responsables informatiques des banques. SSL ralenti le trafic, et il est impossible d’assurer un service conforme aux exigences de rapidité du client et compatible avec un niveau minimum de sécurité. Preuves à l’appui, cette statistique montrant un fléchissement des certificats Tawte et RSA (mais une remontée de Geotrust et VeriSign)

D’un point de vue strictement technique, aucun spécialiste n’y trouvera à redire : un bon cryptage « maison » vaut bien un SSL. Pis encore, il est préférable à un SSL sécurisant un mot de passe indigent unique et un logon name que l’on ne peut modifier. Ensuite, ajoutent les banquiers, le https qui caractérise les liaisons sécurisées n’est pas au goût de tous. Le commun des mortels ne connaît la plupart du temps que les quatre lettres « http », généralement ajoutées automatiquement par le navigateur. Toucher à cette partie cryptique de l’adresse fait peur à la plupart des cyber-surfers.

Pourtant, précise l’analyse de Netcraft, cette suppression risque fort de perturber le client. En effet, des années durant, les professionnels de la transaction en ligne ont insisté sur l’importance du « petit cadenas fermé situé en bas de l’écran, seule garantie d’une communication inviolable ». Et sans SSL, point de « cadenas fermé ». Ce revirement d’attitude est d’autant plus fâcheux qu’en jouant avec des « frames » sécurisés associés à des non-sécurisés, les spécialistes du phishing parviennent même à faire apparaître des certificats sur des « logon pages » aussi fausses qu’une promesse électorale. Alors, qui croire ?

Une fois de plus, les RSSI sont victimes d’une « guerre des services ». Jusqu’à présent, les Directions Générales opposaient aux demandes de moyen des « hommes sécu », des arguments invoquant le R.O.I.. Jusqu’à ce que cette même Direction Générale reconnaisse que, même sans la moindre perte financière, une attaque informatique pouvait gravement entacher l’image de marque de l’entreprise. Cette fois, c’est au tour des Webmestres et des impératifs marketing de venir battre en brèche l’incessant travail des équipes de sécurité. Un travail essentiellement constitué de messages, de « bonnes paroles », de mantras, d’instillation de réflexes conditionnés. La suppression brutale de SSL risque peut-être d’entamer une fois le plus le peu de confiance qui reste envers la banque « en ligne ». Elle réduit certainement à néant des années d’effort d’éducation et d’incitation aux bonnes pratiques.

Marc OLANIE
24/08/2005


Source : Réseaux & Télécoms/CSO

L'étude Netcraft du 23 Aout 2005. Image
Avatar de l’utilisateur
JoShuA
Modérateur
 
Messages: 7246
Inscrit le: 02 Jan 2002, 15:37
Localisation: IdF

Retour vers Les News de Forum-Windows

Qui est en ligne ?

Utilisateurs parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

  •  Liens commerciaux