Le paradigme de la relation banque - clients dans les services bancaires sur internet

D. Le niveau de sécurité transactionnelle sur « bicec.com »

La partie banque en ligne de « bicec.com » est gérée par le progiciel DELTA BANK. Elle est caractérisée par un code https:// figurant devant l'adresse du site et par un cadenas jaune dans le bas de l'écran à droite. Ces éléments témoignent du cryptage des informations personnelles du client et de la sécurisation des transactions.

En double-cliquant sur le cadenas jaune, on a accès aux informations sur le certificat de sécurité garantissant l'identité de l'ordinateur distant qui est celui de la BICEC. Ce certificat est délivré au site de la banque par l'autorité de certification VeriSign^37(*). Au 25 mai 2007, la validité du certificat s'étend du jeudi 15 juin 2006 à 02h au mercredi 1^er août 2007 à 01h59mn59s. La date limite n'est donc pas dépassée. Ces informations garantissent que le client se connecte au service de banque en ligne de la BICEC et non à un autre système.

Le certificat de sécurité de « bicec.com » est de version V3 avec pour numéro de série 35FC 4C6C B703 A517 0F25 90ED 007B C7E9. L'empreinte numérique est DA17 490E 5D3A 5702 6909 1952 7681 97C4 41A0 35B7. L'algorithme de signature est sha1RSA et la clé publique est de type RSA avec un échange à 1024 bits : 3081 8902 8181 00B9 8735 1DCB F848 4DF6 7AFB 3471 C1C1 59FF 9440 FC40 8730 9ED0 3C03 0521 8F19 6E05 6D9D FF96 0B14 FEDE 2D6A D3A4 7E5C 95A5 B58D 6055 A250 3D34 FB82 3DD9 6D8A 34CA 97D5 4932 57A2 87D8 B2D9 778E 5172 45C3 69E3 4686 0E5F 764F 0FD5 C0D8 CAFC 407D 939A 4776 891D A917 4E3B F4D9 3028 3DAC 8459 16B9 E822 8EFC C0C8 9743 8367 D702 0301 0001.

En cliquant à l'aide du bouton droit (pas sur un objet graphique) sur la page https://www.bicec.com/bank/index.htm et en sélectionnant « Propriétés » dans le menu contextuel qui apparaît, nous avons les informations qui indiquent une connexion avec SSL 3.0, RC4 avec cryptage 128 bits (Haute); RSA avec échange 1024 bits.

L'identification au service de banque en ligne de la BICEC se fait par le biais d'un code abonné unique et inchangeable qui est le nom qui identifie le client lorsqu'il accède au service, et d'un code secret qui est un mot de passe modifiable à gré.

En considérant l'évidence de l'utilisation d'un antivirus régulièrement mis à jour, il est nécessaire de souligner que le client doit s'assurer du respect d'un certain nombre de configurations relatives à son navigateur Internet Explorer avant d'accéder au site de banque en ligne de la BICEC car des paramètres incorrects peuvent être à l'origine de nombreuses failles concernant la sécurité. La première vérification^38(*) concerne le niveau de cryptage supporté : menu « aide » de Internet Explorer > A propos de Internet Explorer, et vérifier qu'un cryptage à 128 bits est supporté par le navigateur^39(*). La seconde vérification a trait à la suppression des fichiers Internet temporaires sous le menu Outils > Options Internet > Supprimer les fichiers... > Supprimer tout le contenu hors connexion > OK. La troisième vérification concerne le caractère récent des pages stockées sous le menu Outils > Options Internet > Paramètres > A chaque visite de la page > OK. La quatrième vérification concerne le niveau de sécurité sous le menu Outils > Options Internet > Sécurité > Internet > Niveau par défaut > choisir le niveau de sécurité > Appliquer > OK. Le cinquième niveau de vérification concerne la désactivation de la fonction de saisie automatique car il suffit, quand elle est activée, que quelqu'un saisisse les premiers caractères de l'identifiant d'un client pour que celui-ci s'affiche au complet ; pour la désactiver, il faut passer par le menu Outils > Options Internet > Contenu > Saisie semi-automatique > Effacer les mots de passe > OK. Ces vérifications ne sont pas les seules, mais se veulent les plus importantes pour garantir un certain degré de sécurité du navigateur de l'internaute client de la banque.

* ³⁷ www.verisign.com/ CPS Incorp.by Ref. LIABILITY LTD.(c)97VeriSign. VeriSign Inc. exploite des infrastructures numériques qui permettent la réalisation quotidienne d'interactions sécurisées à travers l'ensemble des réseaux téléphoniques et de transmission de données du monde.

* ³⁸ Nous précisions que toutes les indications concernent uniquement le navigateur web Internet Explorer.

* ³⁹ Si ce n'est pas le cas, il faut télécharger une version approprié de navigateur IE sur www.microsoft.com et le composant plug-in (sun) java qui correspond (www.java.com).