Le paradigme de la relation banque - clients dans les services bancaires sur internet

Section 3 La sécurisation des opérations bancaires en ligne : une réelle inquiétude de la clientèle

De nombreuses études sur le comportement du client bancaire en ligne ont prouvé que le détail sécuritaire est un « catalyseur » des opérations à effectuer en ligne ou non. L'objet de cette rubrique est d'en ressortir les principales composantes mises en oeuvre.

A. Les dangers du canal Internet

Internet a été conçu pour être très ouvert, très souple et très robuste. Ces grandes qualités deviennent de gros défauts quand il s'agit de communiquer des choses sérieuses comme des données financières. Tel qu'il se présente à l'heure actuelle, Internet n'offre concrètement aucune garantie de fiabilité, ni de confidentialité.

1. Absence de confidentialité et d'identification

Sur Internet, circulent des paquets^11(*) qui suivent des circuits de routage de machines en machines. Chacune de ces machines effectue ce routage avec des logiciels standards aux spécifications bien connues. Le chemin varie en fonction de la disponibilité des machines et des connexions. C'est ce qui fait la robustesse d'Internet. Il est impossible de garantir que les paquets échangés entre deux correspondants quels qu'ils soient ne sont pas interceptés ni altérés.

Internet ne comporte pas de méthode pour identifier des correspondants (humains ou logiciels). La seule notion qui existe actuellement dans certaines applications d'Internet est celle de nom d'usager d'une machine. On risque toujours d'avoir affaire à un imposteur car non seulement les noms d'usagers d'une machine ne sont validés que par cette machine, généralement à l'aide d'un mot de passe qui transite souvent sur un réseau; mais aussi, les adresses de machines sont des données dynamiques, aisément contrefaites. On parle alors de « bidonnage IP ou IP spoofing ».

2. Les menaces en ligne

Les attaques ou menaces consistent à trouver un point d'entrée sur un système informatique, le plus souvent à partir d'un accès distant, en découvrant une identité et un mot de passe. Tous les systèmes informatiques connectés au réseau Internet ont un ou plusieurs points faibles.

Il existe sur le canal Internet de nombreuses portes d'accès aux pirates ; surtout si l'internaute ne dispose pas sur son ordinateur de trois niveaux de protection contre les programmes malveillants^12(*) (malware) qui infectent les réseaux : un logiciel antivirus (outil passant au crible l'ensemble des composants de l'ordinateur, les fichiers entrants ou sortants, etc.), un pare-feu^13(*) (firewall) et un logiciel anti-espion (antispyware) pour éradiquer les logiciels espions (spywares). Il ne faut également pas négliger les filtres qui ont un rôle important à jouer.

Les menaces sur Internet sont une réalité et les techniques de piratages sont nombreuses. Par exemple, L'inondation ou flooding est une technique de piratage qui consiste à inonder un serveur de milliers de requêtes simultanées, dans le but de le saturer et d'entraîner sa défaillance. C'est le cas d'un individu ou d'un groupe d'individus qui envoie à un site distant (par exemple à un grand fournisseur de comptes gratuits de courriel sur le Web) un nombre considérable de requêtes simultanées, à intervalles réguliers, afin d'empêcher l'accès au site ou de retarder l'exécution des opérations. D'un autre coté, on a les ordinateurs zombies qui sont des ordinateurs préalablement infectés à l'insu de leur propriétaire par des programmes malveillants (virus informatiques, vers, chevaux de Troie, bombes à retardement) et regroupés en réseau (parfois jusqu'à 50 000 appareils). Contrôlés à distance, les ordinateurs zombies peuvent accomplir une tâche commune illicite comme l'envoi abusif de publicité (spamming) ou une tâche malveillante (saturation d'un service de courriel dans le but de le paralyser).

Le but des fraudeurs informatiques est d'obtenir des renseignements personnels d'internautes dupes et confiants pour ensuite les utiliser à leur profit (numéro de carte de crédit, Numéro d'Identification Personnel, etc.). L'hameçonnage ou phishing consiste en un envoi massif d'un faux courriel, apparemment authentique, utilisant l'identité d'une institution financière ou d'un site commercial connu, dans lequel on demande aux destinataires, sous différents prétextes, de mettre à jour leurs coordonnées bancaires ou personnelles, en cliquant sur un lien menant vers un faux site Web, copie conforme du site de l'institution ou de l'entreprise, où le pirate récupère ces informations, dans le but de les utiliser pour détourner des fonds à son avantage. C'est la menace la plus sérieuse en matière de banque en ligne.

La mystification ou web spoofing est une autre « technique de violation de la sécurité informatique qui consiste à emmener une entité autorisée à se livrer, à son insu, à un acte préjudiciable pour elle-même ou pour son organisation, en lui laissant croire, à tort, qu'elle est en communication avec le système informatique.

Enfin, nous avons entre autres, L'usurpation d'adresse IP^14(*) ou IP spoofing qui est une technique qui consiste à usurper l'identité d'un autre utilisateur du réseau en utilisant son adresse IP ; ce qui permet de faire croire que la connexion provient d'un compte d'utilisateur autorisé.

* ¹¹ Forme sous laquelle les données sont transportées à travers Internet, de longueur prédéterminée.

* ¹² Virus informatiques, vers, chevaux de Troie, bombes logique, etc.

* ¹³ Composant logiciel ou matériel permettant de protéger du piratage informatique un ordinateur connecté à Internet, en filtrant les échanges de données transitant à travers les différents ports de communication de d'ordinateur.

* ¹⁴ Numéro constitué de quatre nombres entiers séparés par des points, qui identifie de façon unique un ordinateur connecté au réseau Internet et en permet la localisation.