C’est via une étude datant de 2006 faite par l’Université du Michigan que l’on apprend que plus de 75% des sites bancaires ne sont pas sur la coche en ce qui attrait la sécurité. On espère que les choses ont évolués depuis, l’étude étant publié au début de Août 2008.

Cette étude a évalué 214 institutions financières et à mis l’accent sur les défauts de conceptions et les mauvaises pratiques en matières de sécurité. Il n’y a aucune faille catastrophique qui a été trouvé, c’est plutôt des méthodes d’utilisation qui pourrait facilité le vol de votre nom d’utilisateur et mot de passe qui ont été décelés.

L’étude complète est disponible ici. Cette étude ne révèle pas spécifiquement quelles failles de sécurité ont été trouvés pour un site en particulier. Les failles étudiées sont les suivantes:

Mauvais système de connexion

Prêt de la moitié des institutions étudiés ont des pages d’authentifications dites “sécurisés” sur des pages qui sont en faits non-sécurisés puisque les dites pages ne sont pas protégées par un protocole SSL. Un certificat SSL, qui peut être vu par la présence d’un cadenas dans votre navigateur, permet l’encryptage des données lors de l’échange entre votre ordinateur et le serveur du site web que vous visitez. N’ayant pas de certificat de sécurité, un pirate pourrait intercepter l’échange entre votre poste de travail et le serveur, ce qui est communément appelé une attaque “man in the middle”. L’étude indique que la plupart des institutions ont effectivement un certificat SSL valide, mais celui-ci n’est tout simplement pas en place pour la page de connexion. Cet élément est également bon à savoir pour vous, si vous récoltez de l’information personnelles de vos clients, il est fortement conseillé de faire l’acquisition d’un certificat de sécurité.

Informations “contactez-nous” sur une page non-sécurisé.

55% des institutions échouent ce test. Une attaque similaire à la précédente pourrait laisser un hacker changer le numéro de téléphone figurant sur la page d’informations de contact, la réorientation des clients vers un faux centre d’appel pourrait permettre le vol du nom d’utilisateur et le mot de passe.

Rediriger l’utilisateur l’extérieur du site de la banque sans avertissement

Lorsque les utilisateurs sont dirigés vers d’autres services (tels que, par exemple, sites de paiement de factures), la banque n’avise pas les usagers du changement. Un utilisateur ne sais pas si ce qu’il voit est digne de confiance ou non.

En utilisant les numéros de sécurité sociale ou les adresses e-mail pour les identifiants d’utilisateur

Ces choses sont simples à deviner ou à trouver, en particulier les adresses e-mail. Les banques devraient permettre aux utilisateurs de créer un nom d’utilisateur personnalisé, ainsi que de politique sur les mots de passe faibles. Ce que 28% des institutions ne font pas.

Envoi par e-mail d’informations confidentielles

Des éléments importants, tel que les relevés financiers devraient être envoyé de manière sécurisé. Les mot de passe, par exemple, ne devrait jamais être envoyé en texte simple. 31% des institutions ont échoués ce test.